治理和企業(yè)風(fēng)險(xiǎn)管理簡(jiǎn)介

時(shí)間：2022-02-27 09:10:02 | 來(lái)源：信息時(shí)代

時(shí)間：2022-02-27 09:10:02 來(lái)源：信息時(shí)代

在云計(jì)算中，有效地治理和企業(yè)風(fēng)險(xiǎn)管理是從良好開(kāi)發(fā)的信息安全治理過(guò)程得到的，是組織的全面企業(yè)治理責(zé)任應(yīng)有的注意(due care)。良好開(kāi)發(fā)的信息安全治理過(guò)程會(huì)使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測(cè)量、可持續(xù)、可防御、可持續(xù)改進(jìn)且具有成本效益。

云計(jì)算中的治理和企業(yè)風(fēng)險(xiǎn)管理的基本問(wèn)題關(guān)系到識(shí)別和實(shí)施適當(dāng)?shù)慕M織架構(gòu)、流程及控制來(lái)維持有效的信息安全治理、風(fēng)險(xiǎn)管理及合規(guī)性。組織還應(yīng)確保在任何云部署模型中，都有適當(dāng)?shù)男畔踩灤┯谛畔⒐?yīng)鏈，包括云計(jì)算服務(wù)的供應(yīng)商和用戶(hù)，及其支持的第三方供應(yīng)商。

治理建議

· 一部分從云計(jì)算服務(wù)節(jié)省的費(fèi)用必須投資到提升提供商的安全能力、應(yīng)用的安全控制和正在進(jìn)行的詳細(xì)評(píng)估和審計(jì)檢查中，以確保能夠持續(xù)滿(mǎn)足需求。

? 不管是什么服務(wù)或部署模型，云計(jì)算服務(wù)的用戶(hù)和提供商都應(yīng)開(kāi)發(fā)健壯的信息安全治理。信息安全治理應(yīng)由用戶(hù)和提供商協(xié)作來(lái)達(dá)到支持業(yè)務(wù)使命和信息安全程序的一致目標(biāo)。服務(wù)模型可以調(diào)整協(xié)同信息安全治理和風(fēng)險(xiǎn)管理中定義的角色和職責(zé)(基于各自對(duì)用戶(hù)和提供商的控制范圍)，部署模型可能定義責(zé)任和預(yù)期(基于風(fēng)險(xiǎn)評(píng)估)。

? 用戶(hù)組織應(yīng)包括審查具體的信息安全治理架構(gòu)和流程，及具體的信息安全控制，作為未來(lái)提供商組織的部分應(yīng)有的責(zé)任(due diligence)。應(yīng)該評(píng)估提供商的安全治理流程和能力的充足性、成熟度及與用戶(hù)信息安全管理流程的連續(xù)性。提供商的信息安全控制應(yīng)基于風(fēng)險(xiǎn)確定并清晰地支持這些管理流程。

? 用戶(hù)和提供商間的協(xié)同治理架構(gòu)和流程是很必要的，既是部分服務(wù)交付(services delivery)的設(shè)計(jì)和開(kāi)發(fā)，也是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理協(xié)議，然后作為服務(wù)協(xié)議的一部分。

? 在建立服務(wù)水平協(xié)議(SLA)及合同契約義務(wù)時(shí)應(yīng)包括安全部門(mén)，來(lái)確保安全需求在合同層面上是可強(qiáng)制執(zhí)行的。

? 在遷移進(jìn)云端前，測(cè)量績(jī)效和信息安全管理有效性的指標(biāo)體系和標(biāo)準(zhǔn)都應(yīng)建立起來(lái)。至少，組織應(yīng)理解并文檔化他們當(dāng)前的指標(biāo)，及運(yùn)營(yíng)遷移進(jìn)云時(shí)，這些指標(biāo)會(huì)如何變動(dòng)，因?yàn)樵铺峁┥炭赡苁褂貌煌?有可能不兼容)指標(biāo)。

? 只要有可能，所有服務(wù)水平協(xié)議(SLA)和合同中都應(yīng)該包含安全指標(biāo)和標(biāo)準(zhǔn)(尤其是那些法律和合規(guī)性需求相關(guān)的)。這些標(biāo)準(zhǔn)和指標(biāo)應(yīng)是文檔記錄的并是可證明的(可審計(jì))。

企業(yè)風(fēng)險(xiǎn)管理建議

和任何新業(yè)務(wù)流程一樣，遵循風(fēng)險(xiǎn)管理的最佳實(shí)踐很重要。實(shí)踐應(yīng)該與云服務(wù)的具體用途相匹配，這些用途可能從無(wú)意的和臨時(shí)的數(shù)據(jù)處理到處理高敏感性數(shù)據(jù)的關(guān)鍵業(yè)務(wù)流程。對(duì)企業(yè)風(fēng)險(xiǎn)管理和信息風(fēng)險(xiǎn)管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進(jìn)已有的風(fēng)險(xiǎn)管理和流程。

? 由于許多云計(jì)算部署中缺少對(duì)基礎(chǔ)設(shè)施的物理控制，因此與傳統(tǒng)的企業(yè)擁有基礎(chǔ)設(shè)施相比，服務(wù)水平協(xié)議(SLA)、合同需求及提供商文檔化在風(fēng)險(xiǎn)管理中會(huì)扮演更重要的角色。

? 由于云計(jì)算中的按需提供和多租戶(hù)特點(diǎn)，傳統(tǒng)形式的審計(jì)和評(píng)估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評(píng)估和滲透測(cè)試，而其他的則限制提供審計(jì)日志和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)。如果這些在內(nèi)部策略中都是要求的，那么就需要尋找替代的評(píng)估方法、某些具體的合同免責(zé)條款，或?qū)ふ遗c風(fēng)險(xiǎn)管理需求更一致的替代提供商。

? 至于對(duì)組織的關(guān)鍵功能使用云服務(wù)，風(fēng)險(xiǎn)管理方法應(yīng)該包括識(shí)別和評(píng)估資產(chǎn)、識(shí)別和分析威脅和弱點(diǎn)及其對(duì)資產(chǎn)(風(fēng)險(xiǎn)和事件場(chǎng)景)的潛在影響、分析事件/場(chǎng)景的可能性、管理層批準(zhǔn)的風(fēng)險(xiǎn)接受水平和標(biāo)準(zhǔn)、多種風(fēng)險(xiǎn)處置(控制、避免、轉(zhuǎn)嫁、接受)計(jì)劃的開(kāi)發(fā)。風(fēng)險(xiǎn)處置計(jì)劃的結(jié)果應(yīng)作為服務(wù)合約的一部分。

? 提供商和用戶(hù)的風(fēng)險(xiǎn)評(píng)估方法應(yīng)一致，影響分析標(biāo)準(zhǔn)和可能性定義也一致。用戶(hù)和提供商應(yīng)共同開(kāi)發(fā)云服務(wù)的風(fēng)險(xiǎn)場(chǎng)景，這應(yīng)該固化在提供商為用戶(hù)服務(wù)的設(shè)計(jì)中和用戶(hù)的云服務(wù)風(fēng)險(xiǎn)評(píng)估中。

? 資產(chǎn)清單應(yīng)盤(pán)點(diǎn)支持云服務(wù)且在提供商控制下的資產(chǎn)。用戶(hù)和提供商的資產(chǎn)分類(lèi)和評(píng)估方案(evaluati?n scheme)應(yīng)一致。.

? 提供商及其服務(wù)都應(yīng)該是風(fēng)險(xiǎn)評(píng)估的主題。云服務(wù)的使用、使用的特定服務(wù)和部署模型，都應(yīng)該與組織的風(fēng)險(xiǎn)管理目標(biāo)及業(yè)務(wù)目標(biāo)一致。

? 如果提供商不能演示證明其服務(wù)的全面有效的風(fēng)險(xiǎn)管理流程，用戶(hù)應(yīng)詳細(xì)評(píng)估該供應(yīng)商，以及是否可以使用用戶(hù)自身的能力來(lái)補(bǔ)償潛在的風(fēng)險(xiǎn)管理差距。

? 云服務(wù)的用戶(hù)應(yīng)詢(xún)問(wèn)管理層對(duì)云服務(wù)的風(fēng)險(xiǎn)容忍和可接受的殘余風(fēng)險(xiǎn)是否已經(jīng)有所定義。

信息風(fēng)險(xiǎn)管理建議

信息風(fēng)險(xiǎn)管理(IRM)是將暴露(exp?sure)與風(fēng)險(xiǎn)聯(lián)系的法則，也是通過(guò)數(shù)據(jù)所有者的風(fēng)險(xiǎn)容忍對(duì)其進(jìn)行管理的能力。如此，對(duì)于設(shè)計(jì)用以保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可用性(CIA)的信息技術(shù)資源，信息風(fēng)險(xiǎn)管理是最優(yōu)先的決策支持方法。

? 采用風(fēng)險(xiǎn)管理框架模型來(lái)評(píng)估IRM，用成熟模型來(lái)評(píng)估IRM模型的有效性。

? 建立適當(dāng)?shù)暮贤枨蠛图夹g(shù)控制，來(lái)收集信息風(fēng)險(xiǎn)決策所需要的數(shù)據(jù)(例如，信息使用、訪(fǎng)問(wèn)控制、安全控制、位置等)。

? 在開(kāi)發(fā)云計(jì)算項(xiàng)目需求前，采用用以確定風(fēng)險(xiǎn)暴露的流程。雖然了解暴露和管理能力所需的信息類(lèi)別比較一般化，但實(shí)際收集的指標(biāo)對(duì)于云計(jì)算SPI模型是特定的，是可以按照服務(wù)來(lái)采集的。

? 在使用SaaS時(shí)，絕大多數(shù)信息都由服務(wù)提供商提供。組織應(yīng)在SaaS服務(wù)合同責(zé)任中制定分析信息的收集流程。

? 當(dāng)采用PaaS時(shí)，建立類(lèi)似上述SaaS服務(wù)的信息采集能力。在可能的地方，包括進(jìn)部署和從控制中采集信息的能力，建立對(duì)這些控制的有效性進(jìn)行測(cè)試的合同條款。

? 當(dāng)使用IaaS服務(wù)提供商時(shí)，在合同中為風(fēng)險(xiǎn)分析需求信息“植入”信息透明性。

? 云服務(wù)提供商應(yīng)包括指標(biāo)和控制來(lái)幫助用戶(hù)實(shí)施他們的信息風(fēng)險(xiǎn)管理需求。

第三方管理建議

? 用戶(hù)應(yīng)該將云服務(wù)和安全視為供應(yīng)鏈安全問(wèn)題。這意味著在盡可能的程度上檢查和評(píng)估提供商的供應(yīng)鏈(服務(wù)提供商的關(guān)聯(lián)和依賴(lài)關(guān)系)。這也意味著檢查提供商自己的第三方管理。

? 對(duì)第三方服務(wù)提供商的評(píng)估應(yīng)具體指向提供商在事件管理、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)等方面的策略、流程和規(guī)程;還應(yīng)包括對(duì)共用場(chǎng)地(c?-l?cati?n)和備份設(shè)施的審查。這應(yīng)包括審查提供商是否遵從其自身策略和規(guī)程的內(nèi)部評(píng)估，評(píng)估提供商在這些領(lǐng)域?yàn)槠淇刂频目?jī)效和有效性提供信息的指標(biāo)體系。

? 用戶(hù)的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃應(yīng)包括提供商服務(wù)失效的場(chǎng)景，及提供商的第三方服務(wù)和第三方服務(wù)依賴(lài)能力的失效場(chǎng)景。對(duì)計(jì)劃中這部分的測(cè)試應(yīng)與云提供商協(xié)調(diào)。

? 對(duì)提供商的信息安全治理、風(fēng)險(xiǎn)管理和合規(guī)結(jié)構(gòu)及流程的全面評(píng)估應(yīng)包括：

? 要求文檔清晰記錄如何評(píng)估設(shè)施和服務(wù)的風(fēng)險(xiǎn)、審計(jì)控制弱點(diǎn)、評(píng)估頻率及如何及時(shí)消減控制弱點(diǎn)。

? 要求定義提供商認(rèn)為的關(guān)鍵服務(wù)和信息安全成功因素、關(guān)鍵績(jī)效指標(biāo)KPI，及如何測(cè)量這些與IT服務(wù)和信息安全管理相關(guān)的內(nèi)容。

? 審查提供商的法律、法規(guī)、行業(yè)及合同需求的獲得、評(píng)估及溝通流程是否全面。

? 對(duì)整個(gè)合同或服務(wù)條款做盡職調(diào)查(due diligence)來(lái)確定角色、職責(zé)和可糾責(zé)性。確保法律審查，包括評(píng)估在國(guó)外或州司法管轄之外的地區(qū)當(dāng)?shù)睾贤瑮l款和法律是否可以強(qiáng)制執(zhí)行。

? 定義應(yīng)有的職責(zé)(due diligence)需求是否包括了所有云提供商關(guān)系的重大方面，例如提供商的財(cái)政狀況、名譽(yù)(如參考檢查)、控制、關(guān)鍵人員、災(zāi)難恢復(fù)計(jì)劃和測(cè)試、保險(xiǎn)、通信能力及轉(zhuǎn)包商的使用。