国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　猶如合規(guī)要求一樣，企業(yè)的云安然工作應(yīng)當(dāng)包含審計(jì)與包管。必需自力地實(shí)施審計(jì)，并且應(yīng)當(dāng)果斷地設(shè)計(jì)審計(jì)以便表示出最好實(shí)踐、得當(dāng)?shù)馁Y本，和顛末查驗(yàn)的和談及尺度。

　　對(duì)客戶和辦事供給商而言，內(nèi)審和外審和各類節(jié)制辦法都是合情合理的、可為云計(jì)較效力的角色。在引進(jìn)云計(jì)較的起步階段，更多的透明度多是增加好處相干者舒適度的最好選擇。審計(jì)是供給包管的編制之一，其包管運(yùn)營(yíng)風(fēng)險(xiǎn)治理勾當(dāng)獲得完全地查驗(yàn)和評(píng)審。

　　組織第一流別的治理要素(例如董事會(huì)和治理層)應(yīng)當(dāng)采取并撐持審計(jì)打算。對(duì)相當(dāng)首要的系統(tǒng)及節(jié)制進(jìn)行按期且自力的審計(jì)，包含伴隨的審計(jì)記實(shí)和文檔將會(huì)撐持晉升效力和靠得住性。 良多組織利用成熟度模型(例如CMM、PTQM)作為闡發(fā)流程有效性的框架。在某些環(huán)境下更多采取的是統(tǒng)計(jì)性的風(fēng)險(xiǎn)治理編制(例如用于金融辦事的巴塞爾和談和償付能力尺度)。并且跟著該范疇的成熟，可以采取合用于本能機(jī)能部門(mén)、或營(yíng)業(yè)線的更具專業(yè)性的風(fēng)險(xiǎn)模型。 對(duì)云計(jì)較而言，我們需要修訂和加強(qiáng)這些實(shí)踐。正如信息手藝模型一樣，審計(jì)需要充分操縱云計(jì)較的潛力，同時(shí)增大年夜范圍和范圍來(lái)治理它諸多的別致性。

　　當(dāng)聯(lián)系(云計(jì)較)供給商時(shí)會(huì)牽扯到客戶所屬組織內(nèi)恰當(dāng)?shù)姆▌?wù)、采購(gòu)和合同團(tuán)隊(duì)。辦事的尺度條目可能并未觸及合規(guī)需求，需要就此進(jìn)行協(xié)商。

　　對(duì)遭到高度監(jiān)管的行業(yè)(例如金融業(yè)、醫(yī)療行業(yè))來(lái)講，當(dāng)利用云辦事時(shí)應(yīng)當(dāng)考慮專門(mén)的合規(guī)要求。理解本身當(dāng)前要求的組織應(yīng)當(dāng)考慮漫衍式IT模型的影響，包含云辦事供給商運(yùn)營(yíng)于不合的地輿位置和不合的法令管轄區(qū)所帶來(lái)的影響。

　　為每項(xiàng)工作負(fù)荷(例如整套的利用和數(shù)據(jù))，肯定利用云辦事將會(huì)若何影響現(xiàn)有的合規(guī)要求，出格是當(dāng)與信息安然有關(guān)時(shí)。雖然有良多外包辦事解決方案，組織仍需理解他們哪個(gè)云辦事合作火伴正在措置并該當(dāng)措置受監(jiān)管的信息。受影響的策略和流程的例子包含勾當(dāng)陳述、日記、數(shù)據(jù)保持、變亂響應(yīng)、節(jié)制測(cè)試和隱私權(quán)策略。

　　各方都應(yīng)當(dāng)理解各自的合同職責(zé)。期看值的底線將會(huì)因?yàn)閿[設(shè)模型而有所不合，在IaaS模型中客戶具有更多的節(jié)制權(quán)和職責(zé)，對(duì)SaaS解決方案而言辦事供給商扮演著統(tǒng)治性的角色。出格首要的是彼此受束縛的要乞降責(zé)任，而不但只是限于客戶與他們直接的云辦事供給商，并且也是在最終用戶與供給商的云辦事供給商之間。

　　遵遵律例和行業(yè)劃定和要求(例如律例、手藝、法令、合規(guī)、風(fēng)險(xiǎn)和安然等方面)是關(guān)頭的，并且必需在要求確認(rèn)階段就解決。任何被措置、傳輸、存儲(chǔ)的信息，或是被看作是小我可辨認(rèn)信息(Personal Identifiable Information，簡(jiǎn)稱PII)或私家信息都面對(duì)著世界范圍內(nèi)繁多的合打算定，這些合規(guī)可能隨國(guó)度或地區(qū)的不合而有差別。既然云計(jì)較被設(shè)計(jì)為是位于不合地區(qū)且可擴(kuò)大的，解決方案中被存儲(chǔ)、措置、傳輸或是檢索的數(shù)據(jù)可能來(lái)自云辦事供給商的浩繁場(chǎng)合或多個(gè)數(shù)據(jù)中間。一些律例明白劃定的節(jié)制在某些云辦事類型(例如地輿上的要求可能與漫衍式的存儲(chǔ)不一致)下很難、或是底子不成能實(shí)現(xiàn)。客戶與供給商必需就若何匯集、存儲(chǔ)，和共享合規(guī)證據(jù)(如審計(jì)日記、勾當(dāng)陳述、系統(tǒng)建設(shè))達(dá)成一致定見(jiàn)。

　　在實(shí)際工作中，可以遵守以下一些有益的建議和最好實(shí)踐：

　　建議首選那些具有“云意識(shí)”的審計(jì)人員，他們熟諳包管虛擬化與云手藝的挑戰(zhàn)和優(yōu)勢(shì)。

　　建議要求云辦事供給商供給SSAE 16 SOC2 或 ISAE 3402 類型2陳述。這些陳述將為審計(jì)人員和評(píng)估人員供給被承認(rèn)的參考解纜點(diǎn)。

　　合同應(yīng)當(dāng)供給給第三方(例如由兩邊選擇的中間方)來(lái)評(píng)審SLA的懷抱尺度及合規(guī)性。

　　有權(quán)審計(jì)的條目付與客戶審計(jì)云供給商的能力，這撐持在頻繁地改變的云計(jì)較環(huán)境與律例內(nèi)的可追溯性和透明度。利用有權(quán)審計(jì)的尺度化規(guī)范來(lái)確保對(duì)彼此期看值的理解。最終，這個(gè)權(quán)力應(yīng)由第三方的認(rèn)證(例如ISO/IEC 27001或27017認(rèn)證)所代替。

　　利用指定拜候權(quán)限的透明度條目供給那些身處遭到高度監(jiān)管行業(yè)的用戶(包含那些可將不合規(guī)作為刑事訴訟根據(jù)的行業(yè))所需要的信息。該和談應(yīng)當(dāng)與主動(dòng)產(chǎn)生或可直接拜候的信息(例如日記、陳述)，和推送的信息(例如系統(tǒng)架構(gòu)、審計(jì)陳述)辨別隔來(lái)。

　　云供給商應(yīng)當(dāng)按期(或是按需)地評(píng)審、更新并且發(fā)布他們的信息安然文檔和GRC(Governance, Risk and Compliance，治理、風(fēng)險(xiǎn)和合規(guī)，簡(jiǎn)稱GRC)流程。這些資料應(yīng)當(dāng)包含縫隙闡發(fā)和相干的解救辦法決定計(jì)劃和勾當(dāng)。

　　第三方審計(jì)人員應(yīng)由云供給商和客戶事前共同透露或選擇。

　　各方應(yīng)就采取一個(gè)共同的IT治理和安然節(jié)制認(rèn)證包管框架(例如ISO或COBIT尺度)達(dá)成一致。