傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)簡(jiǎn)介

時(shí)間：2022-02-27 12:20:01 | 來源：信息時(shí)代

時(shí)間：2022-02-27 12:20:01 來源：信息時(shí)代

傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性計(jì)劃(BCP)和災(zāi)難恢復(fù)(DR)等形成的專業(yè)知識(shí)與云計(jì)算仍然有緊密關(guān)系。由于云計(jì)算的迅速變化和缺乏透明度，這就要求在傳統(tǒng)的安全、業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)難恢復(fù)領(lǐng)域的專業(yè)人員不斷進(jìn)行審查和監(jiān)測(cè)您所選擇的云服務(wù)供應(yīng)商。

當(dāng)前我們面臨的的挑戰(zhàn)是如何合作進(jìn)行風(fēng)險(xiǎn)識(shí)別、確認(rèn)相互依存、整合、動(dòng)態(tài)并且有效的利用資源。云計(jì)算和與之配套的基礎(chǔ)設(shè)施可以幫助減少某些安全問題，但也可能會(huì)增加某些安全問題，肯定不會(huì)消除人們對(duì)安全的需要。隨著業(yè)務(wù)和技術(shù)領(lǐng)域的重要變革的深入，傳統(tǒng)安全原則依然存在。

建議

? 必須謹(jǐn)記，數(shù)據(jù)的集中意味著云服務(wù)提供商內(nèi)部人員的“濫用”是一個(gè)重大的問題。

? 云服務(wù)提供商應(yīng)考慮采納大多數(shù)客戶的最嚴(yán)格的需求作為一個(gè)安全基準(zhǔn)。在一定程度上，這些安全實(shí)踐不會(huì)對(duì)客戶的體驗(yàn)產(chǎn)生負(fù)面影響;從長(zhǎng)遠(yuǎn)來說，在降低風(fēng)險(xiǎn)以及客戶驅(qū)動(dòng)的安全領(lǐng)域的關(guān)注方面，嚴(yán)格的安全實(shí)踐應(yīng)當(dāng)可以被證明有很好的成本效率。

? 云服務(wù)提供商應(yīng)對(duì)工作職責(zé)建立強(qiáng)健的隔離制度，并且對(duì)要對(duì)員工進(jìn)行背景調(diào)查，要求/強(qiáng)制執(zhí)行的非雇員的保密協(xié)議的簽訂，并且按照“履行職責(zé)的絕對(duì)需要”來限定員工對(duì)客戶知識(shí)的了解。

? 客戶應(yīng)盡可能對(duì)云服務(wù)提供商的設(shè)施進(jìn)行現(xiàn)場(chǎng)檢查。

? 客戶應(yīng)該檢查云服務(wù)提供商災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。

? 客戶應(yīng)辨識(shí)提供商基礎(chǔ)設(shè)施的實(shí)際物理的相互依存關(guān)系。

? 確保在合同中，對(duì)安全、恢復(fù)以及數(shù)據(jù)訪問有一個(gè)權(quán)威的分類明確地闡明有關(guān)安全、恢復(fù)、以及對(duì)數(shù)據(jù)的訪問。

? 客戶應(yīng)該要求提供者的內(nèi)部和外部的安全控制文件，并遵守某些行業(yè)標(biāo)準(zhǔn)。

? 確?；謴?fù)時(shí)間目標(biāo)(RTO)已經(jīng)被客戶充分理解并且已經(jīng)訂立契約關(guān)系，并且已經(jīng)在納入技術(shù)規(guī)劃過程。確保技術(shù)路線圖、政策和運(yùn)作能力能夠滿足這些要求。

? 客戶需要確認(rèn)提供商提供的現(xiàn)有的BCP政策已經(jīng)被提供商的董事會(huì)批準(zhǔn)。

? 客戶應(yīng)尋求管理層的積極支持，并定期審查業(yè)務(wù)連續(xù)性程序，以確保業(yè)務(wù)連續(xù)性程序是“活”的。

? 客戶應(yīng)檢查BCP是否被認(rèn)證和/或被諸如BS 25999之類國際公認(rèn)標(biāo)準(zhǔn)認(rèn)定。

? 客戶應(yīng)該確定提供商是否有任何在線資源致力安全和BCP，且該計(jì)劃的概要和清單可以供人們參考。

? 確保云服務(wù)提供商已經(jīng)通過該公司銷售商安全過程(VSP)的審核，以便對(duì)共享了哪些數(shù)據(jù)以及采用了什么樣的控制手段有一個(gè)清楚地了解。VSP決定應(yīng)該將風(fēng)險(xiǎn)是否可以接受反饋給給決策過程和決策評(píng)估。

? 由于云計(jì)算的動(dòng)態(tài)和相對(duì)年輕的特性，上述所有活動(dòng)需要更加頻繁的周期來披露還沒有和消費(fèi)者溝通的變化。