合規(guī)性和審計簡介

時間：2022-02-27 14:15:02 | 來源：信息時代

時間：2022-02-27 14:15:02 來源：信息時代

隨著云計算逐漸發(fā)展成為一種可行的且具有高性價比的整體系統(tǒng)、甚至整體商業(yè)流程外包方式，如何通過執(zhí)行安全策略和相關(guān)法規(guī)，來保持組織自身的合規(guī)性已經(jīng)成為一個課題，并且變得越來越困難，特別是如何演示給審計者和評估者更是一個難題。

目前IT技術(shù)相關(guān)的法律法規(guī)在編寫時大多沒有將云計算考慮在內(nèi)。通常情況審計者和評估者可能對云計算不熟悉，有時候也許使用過特定的云服務(wù)。基于以上情況，云的消費者需要理解以下幾點：

· 使用特定云服務(wù)時的監(jiān)管法規(guī)適用性

· 云提供商和消費者在合規(guī)責(zé)任上的區(qū)別

· 云提供商提供合規(guī)所需資料的能力

· 云消費者需要協(xié)助云提供商縮小和審計者/評估者之間的差異.

建議

? 引入法律和合同團隊。云提供商的標(biāo)準(zhǔn)服務(wù)可能無法滿足你的合規(guī)需求;因此法律和合同團隊的早期介入對于保證云服務(wù)合同條款滿足合規(guī)和審計要求是有好處的。

? 審計條款的權(quán)利。由于云和管理環(huán)境的動態(tài)變化特點，消費者經(jīng)常需要審計云提供商的能力。特別是當(dāng)云消費者有合規(guī)責(zé)任時，審計合同條款的權(quán)利應(yīng)該可以隨時獲得。隨著云提供商獲得了相關(guān)的認(rèn)證，這種需求應(yīng)該會逐漸減少，稍后我們會介紹ISO/IEC 27001認(rèn)證的相關(guān)內(nèi)容。

? 分析合規(guī)的范圍。對于給定的應(yīng)用和數(shù)據(jù)，確定組織遵守的合規(guī)條例是否會受到使用云服務(wù)的影響。

? 分析合規(guī)條例對數(shù)據(jù)安全的影響。潛在的云服務(wù)消費者應(yīng)該考慮哪種應(yīng)用和數(shù)據(jù)適合以云服務(wù)的形式提供，以及這種服務(wù)合規(guī)的范圍。

? 審核相關(guān)的合作伙伴和服務(wù)提供商。這是保證服務(wù)提供商不會對合規(guī)起負(fù)面作用的基本指導(dǎo)?；A(chǔ)的做法是，評估那些處理有合規(guī)性要求的數(shù)據(jù)的服務(wù)提供商，進而評估這些服務(wù)提供商的安全控制手段。有些合規(guī)性法規(guī)對如何訪問和管理第三方廠商風(fēng)險有專門的說明。對于那些沒有在自身IT和業(yè)務(wù)服務(wù)中采用云架構(gòu)的組織，也需要了解其云業(yè)務(wù)合作伙伴在處理數(shù)據(jù)時是否遵從合規(guī)性法規(guī)。

? 理解合同中的數(shù)據(jù)保護責(zé)任和相關(guān)的合同。云服務(wù)模型要求，消費者或者是云服務(wù)提供商都有責(zé)任部署安全控制策略。相對于SaaS(軟件即服務(wù))來說，IaaS(基礎(chǔ)架構(gòu)即服務(wù))場景中的消費者具有較高的控制度和責(zé)任。從一個安全控制標(biāo)準(zhǔn)點來看，這意味著IaaS的消費者將需要為合規(guī)部署很多安全控制點。在SaaS場景中，云服務(wù)提供商必須提供必需的(安全)控制。從合同的角度來看，理解特殊的需求，并保證云服務(wù)合同和服務(wù)水平協(xié)議(SLA)可以最終解決合規(guī)性的問題。

? 分析合規(guī)條例對提供商基礎(chǔ)架構(gòu)的影響。將基礎(chǔ)架構(gòu)遷移到云服務(wù)上同樣需要慎重的分析。某些管理要求決定了控制策略很難，或者不可能以云服務(wù)類型進行部署。

? 分析合規(guī)條例對政策和規(guī)程的影響。將數(shù)據(jù)和應(yīng)用遷移到云服務(wù)上將可能對政策和規(guī)程產(chǎn)生影響。消費者應(yīng)該評估那些與合規(guī)條例相關(guān)的政策和規(guī)程，有關(guān)的例子包括活動報告、日志、數(shù)據(jù)保存、事故響應(yīng)、控制測試以及隱私政策等。

? 準(zhǔn)備滿足合規(guī)需求的證據(jù)。 如何從大量的合規(guī)條例和要求中收集合規(guī)的證據(jù)將是一個挑戰(zhàn)。云服務(wù)的消費者應(yīng)該指定出收集和存儲合規(guī)證據(jù)的流程，包括日志、事件報告、系統(tǒng)配置備份、變更管理報告和其他流程輸出資料。基于云服務(wù)模型，云提供商可能需要提供類似的大量信息。

? 審計師的資質(zhì)和選擇。在很多時候組織沒有權(quán)利去選擇審計師或安全評估人員。如果組織有一定選擇的權(quán)利(selection input)，由于很多審計師對云和虛擬化技術(shù)不熟悉，強烈建議選擇一個對云有一定了解的審計師。詢問一下關(guān)于IaaS/PaaS/SaaS相關(guān)術(shù)語的熟悉程度是一個不錯的開始點。

? 云提供商的SAS 70 Type II。提供商應(yīng)該有最低級別的審計聲明，因為其要為審計師和評估人員提供一個可識別的參考點。由于SAS 70 Type II只保證文檔中安全控制的實施，所以理解SAS 70 Type II審計的范圍和安全控制是否滿足你的要求是同等重要的。

? 云提供商通過ISO/IEC 27001/27002的計劃。提供關(guān)鍵服務(wù)的云提供商應(yīng)該在信息安全管理系統(tǒng)中達到ISO/IEC 27001的標(biāo)準(zhǔn)。如果云提供商沒有通過ISO/IEC 27001的認(rèn)證，他們應(yīng)該證明與ISO 27002實踐的契合程度。

? ISO/IEC 27001/27002的范圍(Scoping)。云安全聯(lián)盟正在業(yè)內(nèi)呼吁未通過ISO/IEC 27001認(rèn)證的云提供商聯(lián)合起來，以保證范圍定義沒有忽略關(guān)鍵的認(rèn)證準(zhǔn)則。