中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

如何確保云計算的合規(guī)性

2021-02-12    分類: 網(wǎng)站建設(shè)

如何確保云計算的合規(guī)性

數(shù)據(jù)傳輸、存儲、備份、檢索和訪問需要符合云計算合規(guī)性。雖然IT部門往往負(fù)責(zé)實施合規(guī)性,但可能(也可能應(yīng)該)涉及其他職能部門。這種參與包括決策、監(jiān)控、審計、治理、安全、數(shù)據(jù)保護、風(fēng)險管理,以及法律。

合規(guī)性是一個非常嚴(yán)肅的話題,應(yīng)該得到深入的理解,因為合規(guī)性失敗可能導(dǎo)致監(jiān)管罰款、訴訟、網(wǎng)絡(luò)安全事件,以及聲譽損害。因此,了解云計算提供商提供的服務(wù)和企業(yè)要求的詳細(xì)信息非常重要。

本文概述了云計算合規(guī)性的注意事項,并列出了全球三大主要云計算服務(wù)提供商Amazon Web Services、Microsoft Azure、Google Cloud中常見的一些服務(wù)。有興趣采購云合規(guī)服務(wù)的組織應(yīng)訪問相應(yīng)服務(wù)提供商的網(wǎng)站以獲取最新信息。

云計算合規(guī)性問題包括客戶合規(guī)性和服務(wù)合規(guī)性管理。

云計算合規(guī)性:關(guān)鍵考慮因素

當(dāng)人們考慮云計算合規(guī)性時出現(xiàn)的首要問題之一是用戶不用管理自己的基礎(chǔ)設(shè)施。

如果出現(xiàn)問題,企業(yè)將外包作為防御措施是行不通的。實際上,包括AWS和Microsoft Azure在內(nèi)的云計算提供商強調(diào)了云計算合規(guī)性是雙重責(zé)任這一事實。雖然他們對用戶有一定的合同責(zé)任,但用戶必須注意自己的好利益。這包括為用戶的要求選擇正確的服務(wù),正確處理用戶控制的配置等。

確保云計算合規(guī)性的其他一些考慮因素包括:

  • 數(shù)據(jù)。確定在云平臺中存儲的內(nèi)容以及原因。
  • 數(shù)據(jù)位置。審核員可能會詢問數(shù)據(jù)的位置,但云計算服務(wù)提供商可能不會透露該信息。
  • 資產(chǎn)管理。云計算服務(wù)提供商負(fù)責(zé)管理其基礎(chǔ)設(shè)施資產(chǎn),企業(yè)負(fù)責(zé)管理自己的資產(chǎn),包括托管的操作系統(tǒng)和應(yīng)用程序。
  • 系統(tǒng)和數(shù)據(jù)訪問控制。合規(guī)性往往涉及數(shù)據(jù)安全性。企業(yè)應(yīng)該了解哪些人可以采用其云計算服務(wù)提供商(包括第三方承包商)的服務(wù),并訪問哪些內(nèi)容。
  • 配置管理。例如,如果企業(yè)錯誤配置AWS S3存儲桶,則由自行承擔(dān)錯誤。
  • 數(shù)據(jù)加密。保持合規(guī)性通常意味著在靜止和運動中加密數(shù)據(jù)以保護它。
  • 共享或私有資源。根據(jù)企業(yè)的特定合規(guī)性要求,可能需要云計算服務(wù)提供商的數(shù)據(jù)中心中的私有數(shù)據(jù)中心套件。
  • 服務(wù)水平協(xié)議(SLA)。適用于企業(yè)的法律和法規(guī)可能有服務(wù)級別協(xié)議要求。這可能會限制其可以使用的服務(wù)類型。
  • 數(shù)據(jù)保護。了解云計算提供商保護企業(yè)的信息的程度非常重要。
  • 合規(guī)性認(rèn)證和法律認(rèn)可的替代品。并非所有云計算合規(guī)性服務(wù)都能夠通過認(rèn)證。如果由于某種原因無法進(jìn)行認(rèn)證,云計算提供商可能會找到一種符合標(biāo)準(zhǔn)的方法,例如遵守更嚴(yán)格的標(biāo)準(zhǔn)。
  • 審計。了解哪些第三方審核云計算合規(guī)性并閱讀報告。還要了解企業(yè)是否有權(quán)審核云合規(guī)性。
  • 事件響應(yīng)。了解潛在事件的范圍以及如果出現(xiàn)這些類型的事件(例如,接收警報和響應(yīng)速度),應(yīng)采取何種類型的事件響應(yīng)。
  • 電子發(fā)現(xiàn)功能。這是一個法律問題,而不是監(jiān)管問題。如果企業(yè)發(fā)現(xiàn)自己處于任何類型的訴訟中,將需要快速訪問所請求的數(shù)據(jù),并且只訪問所請求的數(shù)據(jù)。
  • 安全要求。企業(yè)應(yīng)該了解通常選擇正確的云計算服務(wù)所需的安全形式。出于合規(guī)性目的,需要了解法律或法規(guī)要求的安全級別。
  • 災(zāi)難恢復(fù)。發(fā)生電力中斷。適用于企業(yè)的法律和法規(guī)可能具有特定的災(zāi)難恢復(fù)要求。
  • 盡職調(diào)查。了解如何處理定期盡職調(diào)查。
  • 信息資源。云計算服務(wù)提供商提供的信息資源差別很大。提供大量信息的那些可以幫助用戶從一開始就成功實現(xiàn)云計算合規(guī)性。
  • 合規(guī)報告。了解用戶可以訪問和閱讀的合規(guī)報告的范圍。

云計算合規(guī)服務(wù)提供商可能涵蓋的內(nèi)容

不同的云計算服務(wù)提供商以不同方式呈現(xiàn)其云計算合規(guī)性服務(wù)。一些提供商使用列表而其他提供商使用網(wǎng)格。有些人將事情分類,而有些人則沒有。

例如,AWS公司有三個列表涵蓋認(rèn)證/證明、法律/法規(guī)/隱私、路線/框架。微軟公司和谷歌公司更喜歡采用用戶體驗元素。此外,微軟公司還將其合規(guī)服務(wù)分為全球、政府、行業(yè)和地區(qū)。

由于信息的呈現(xiàn)因服務(wù)提供商而異,因此用戶應(yīng)仔細(xì)審查產(chǎn)品。在合規(guī)性方面,假設(shè)是危險的,因此IT部門應(yīng)與上述其他職能部門合作,以確保合規(guī)的覆蓋范圍。

全球三大云計算提供商共有的云計算合規(guī)性資源包括:

  • 歐洲的云計算互聯(lián)網(wǎng)服務(wù)提供商(CISPE)——這是一家促進(jìn)高級別安全和數(shù)據(jù)保護的非營利組織。
  • 明確合法的海外使用數(shù)據(jù)法(云計算法案)——即2018年頒布的美國聯(lián)邦法律。
  • 互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)——防止網(wǎng)絡(luò)攻擊的配置指南。
  • 刑事司法信息服務(wù)(CJIS)——由執(zhí)法部門、國家安全部門、情報部門針對云計算技術(shù)提出的一套建議。
  • 云計算安全聯(lián)盟(CSA)——好實踐。
  • 英國國家網(wǎng)絡(luò)安全中心——頒發(fā)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施及認(rèn)證機構(gòu)
  • 1974年“家庭教育權(quán)利和隱私法”(FERPA)——美國聯(lián)邦政府頒布的一條法律,管理公共實體(包括潛在雇主、公共資助教育機構(gòu)、政府部門)獲取教育信息和記錄。
  • 歐盟-美國隱私保護——數(shù)據(jù)保護框架。
  • 美國聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)——安全標(biāo)準(zhǔn)認(rèn)證
  • 美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)——用于批準(zhǔn)加密模塊的美國政府計算機安全標(biāo)準(zhǔn)。
  • 歐盟通用數(shù)據(jù)保護法規(guī)(GDPR)——歐盟的隱私保護替代品,于2018年生效。
  • G-Cloud——簡化英國政府實體采購技術(shù)產(chǎn)品和服務(wù)的框架。
  • 健康保險流通與會計法案(HIPAA)——保護云計算系統(tǒng)中健康信息的指南。
  • ISO 9001——質(zhì)量管理體系(QMS)的國際標(biāo)準(zhǔn)
  • ISO 27001——一種國際標(biāo)準(zhǔn),規(guī)定了在組織范圍內(nèi)建立、實施、維護、持續(xù)改進(jìn)信息安全管理系統(tǒng)的要求。
  • ISO 27017——一種國際標(biāo)準(zhǔn),為適用于提供和使用云計算服務(wù)的信息安全控制提供指導(dǎo)。
  • 多層云戰(zhàn)略(MTCS SS584)——新加坡的健全風(fēng)險管理和安全實踐標(biāo)準(zhǔn)、透明度和問責(zé)制。
  • 美國電影協(xié)會(MPAA)——內(nèi)容安全的好實踐。
  • 號碼法案——2016年頒布的日本12位個人識別號碼系統(tǒng)。
  • 美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)800-53 ——美國聯(lián)邦信息系統(tǒng)的安全和隱私控制目錄。
  • 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)——包含存儲、處理或傳輸支付卡持卡人數(shù)據(jù)的任何企業(yè)的12項要求的標(biāo)準(zhǔn)。
  • 美國證券交易委員會(SEC)第17-a條——經(jīng)紀(jì)人-交易商數(shù)據(jù)保存規(guī)則。
  • 系統(tǒng)和組織控制(SOC)1 ——服務(wù)組織控制的報告,可能與用戶實體對財務(wù)報告的內(nèi)部控制相關(guān)。
  • 系統(tǒng)和組織控制(SOC)2——評估組織與安全性、可用性、處理完整性、機密性或隱私相關(guān)的信息系統(tǒng)的報告。
  • 系統(tǒng)和組織控制(SOC)3——與SOC 2不同的報告,沒有詳細(xì)說明所執(zhí)行的測試,并且旨在用作營銷材料。

網(wǎng)站名稱:如何確保云計算的合規(guī)性
轉(zhuǎn)載來源:http://www.rwnh.cn/news41/100591.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航定制網(wǎng)站、小程序開發(fā)、網(wǎng)站策劃微信公眾號、靜態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名
宕昌县| 东兴市| 平远县| 竹溪县| 涡阳县| 清水河县| 二连浩特市| 武邑县| 嘉荫县| 巴马| 闻喜县| 玛曲县| 泸定县| 新蔡县| 邹平县| 沽源县| 临海市| 灵山县| 常德市| 左云县| 宜春市| 怀仁县| 大同县| 洪湖市| 阳城县| 福贡县| 吐鲁番市| 侯马市| 乐亭县| 土默特右旗| 丰原市| 玉林市| 建宁县| 乌拉特前旗| 磐石市| 永州市| 上饶市| 黑山县| 麻栗坡县| 卢龙县| 吉安县|