[[112950]]

企業(yè)必須符合廣泛的且不斷變化的規(guī)則清單，處在高度管制行業(yè)的企業(yè)更是如此。如果公司的信息安全策略和IT系統(tǒng)沒有遵守這些方針政策，那么，企業(yè)將面臨罰款和其他處罰。 金融服務和醫(yī)療保健等行業(yè)的規(guī)則包括PCI DSS、SOX 、GLBA 、HIPAA和HITECH ，這些規(guī)則都提供了有關(guān)個人信息處理的具體方針政策。

因為云的出現(xiàn)，合規(guī)性進行了新的調(diào)整。為了保護企業(yè)，企業(yè)需要提出正確的問題，而不只是對云計算的合規(guī)需求做表面評估。

檢查所有規(guī)則的更新

合規(guī)是一個動態(tài)的目標。健康保險流通與責任法（ HIPAA ）經(jīng)過多次細化，于1996年8月正式通過。報告稱合規(guī)需求從公司員工擴大到業(yè)務伙伴，如任何第三方承包商。因此，公司必須了解如何保證信息的安全以及員工如何使用 。公司還負責了解其合作伙伴的系統(tǒng)是如何設置的，以及如何處理機密信息。

根據(jù)信息的重要性排序

并非所有的信息都同等重要。因此，將信息遷移到云之前，企業(yè)首先應進行數(shù)據(jù)評估，并將信息按重要性排序。 例如，公司的地址沒有必要像客戶地址那樣，必須得到保障，因此，維護客戶地址更重要。 在某些情況下，組織可以將高度機密的數(shù)據(jù)永遠存儲在本地，而不是在公有云中。 對于移動到云中的數(shù)據(jù)，企業(yè)需要與云提供商合作，從而建立健全的程序。

了解數(shù)據(jù)存儲的具體位置

云所面臨的一個挑戰(zhàn)是其往往設計的模糊不清。信息可以存儲在不同的地方，供應商通常也有多個數(shù)據(jù)中心。 在某些情況下，主要的數(shù)據(jù)中心可以容納一個“指針”，而不是記錄本身。 了解數(shù)據(jù)存儲的位置至關(guān)重要。必須確保采取的數(shù)據(jù)保護手段能夠回答這些問題：誰能夠看到這些數(shù)據(jù)？ 誰來管理數(shù)據(jù)？ 數(shù)據(jù)是如何管理的？ 備份過程是怎樣的？ 備份數(shù)據(jù)存儲在哪里？ 備份數(shù)據(jù)如何存儲？信息與其他組織的信息是否區(qū)分開？

了解有關(guān)加密服務的詳細信息

了解有關(guān)所有云服務，包括加密服務的詳細信息，但是加密服務不盡相同。當信息從一個地方轉(zhuǎn)移到另一個地方，保護信息是一個很好的出發(fā)點，但這往往是不夠的。公司還必須確保數(shù)據(jù)被有效保護，存儲在存儲主軸上。 服務級別協(xié)議中應包含信息必須被加密的規(guī)定。

檢查披露政策

全國零售商Target的一個安全漏洞泄露了100多萬用戶的私人信息。 Target的問題不僅僅在于Target的數(shù)據(jù)保護系統(tǒng)，還在于：一段時期以來，該公司向公眾隱瞞該事件。 了解信息披露政策。有一些規(guī)則云供應商和公司都必須遵守。 短暫的延遲期是不可避免的，因為公司試圖理清一些問題，如果拖延的話，還會產(chǎn)生合規(guī)性問題。