企業風險管理建議

在云計算中，有效地治理和企業風險管理是從良好開發的信息安全治理過程得到的，是組織的全面企業治理責任應有的注意(due care)。良好開發的信息安全治理過程會使信息安全管理程序一直可依據業務伸縮、可在組織內重復、可測量、可持續、可防御、可持續改進且具有成本效益。

云計算中的治理和企業風險管理的基本問題關系到識別和實施適當的組織架構、流程及控制來維持有效的信息安全治理、風險管理及合規性。組織還應確保在任何云部署模型中，都有適當的信息安全貫穿于信息供應鏈，包括云計算服務的供應商和用戶，及其支持的第三方供應商。

治理建議

· 一部分從云計算服務節省的費用必須投資到提升提供商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

• 不管是什么服務或部署模型，云計算服務的用戶和提供商都應開發健壯的信息安全治理。信息安全治理應由用戶和提供商協作來達到支持業務使命和信息安全程序的一致目標。服務模型可以調整協同信息安全治理和風險管理中定義的角色和職責(基于各自對用戶和提供商的控制范圍)，部署模型可能定義責任和預期(基于風險評估)。

• 用戶組織應包括審查具體的信息安全治理架構和流程，及具體的信息安全控制，作為未來提供商組織的部分應有的責任(due diligence)。應該評估提供商的安全治理流程和能力的充足性、成熟度及與用戶信息安全管理流程的連續性。提供商的信息安全控制應基于風險確定并清晰地支持這些管理流程。

• 用戶和提供商間的協同治理架構和流程是很必要的，既是部分服務交付(services delivery)的設計和開發，也是風險評估和風險管理協議，然后作為服務協議的一部分。

• 在建立服務水平協議(SLA)及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

• 在遷移進云端前，測量績效和信息安全管理有效性的指標體系和標準都應建立起來。至少，組織應理解并文檔化他們當前的指標，及運營遷移進云時，這些指標會如何變動，因為云提供商可能使用不同的(有可能不兼容)指標。

• 只要有可能，所有服務水平協議(SLA)和合同中都應該包含安全指標和標準(尤其是那些法律和合規性需求相關的)。這些標準和指標應是文檔記錄的并是可證明的(可審計)。

企業風險管理建議

和任何新業務流程一樣，遵循風險管理的最佳實踐很重要。實踐應該與云服務的具體用途相匹配，這些用途可能從無意的和臨時的數據處理到處理高敏感性數據的關鍵業務流程。對企業風險管理和信息風險管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進已有的風險管理和流程。

• 由于許多云計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。

• 由于云計算中的按需提供和多租戶特點，傳統形式的審計和評估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評估和滲透測試，而其他的則限制提供審計日志和實時監控數據。如果這些在內部策略中都是要求的，那么就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代提供商。

• 至于對組織的關鍵功能使用云服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產(風險和事件場景)的潛在影響、分析事件/場景的可能性、管理層批準的風險接受水平和標準、多種風險處置(控制、避免、轉嫁、接受)計劃的開發。風險處置計劃的結果應作為服務合約的一部分。

• 提供商和用戶的風險評估方法應一致，影響分析標準和可能性定義也一致。用戶和提供商應共同開發云服務的`風險場景，這應該固化在提供商為用戶服務的設計中和用戶的云服務風險評估中。

• 資產清單應盤點支持云服務且在提供商控制下的資產。用戶和提供商的資產分類和評估方案(evaluati•n scheme)應一致。.

• 提供商及其服務都應該是風險評估的主題。云服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

• 如果提供商不能演示證明其服務的全面有效的風險管理流程，用戶應詳細評估該供應商，以及是否可以使用用戶自身的能力來補償潛在的風險管理差距。

• 云服務的用戶應詢問管理層對云服務的風險容忍和可接受的殘余風險是否已經有所定義。

信息風險管理建議

信息風險管理(IRM)是將暴露(exp•sure)與風險聯系的法則，也是通過數據所有者的風險容忍對其進行管理的能力。如此，對于設計用以保護信息資產的機密性、完整性和可用性(CIA)的信息技術資源，信息風險管理是最優先的決策支持方法。

• 采用風險管理框架模型來評估IRM，用成熟模型來評估IRM模型的有效性。

• 建立適當的合同需求和技術控制，來收集信息風險決策所需要的數據(例如，信息使用、訪問控制、安全控制、位置等)。

• 在開發云計算項目需求前，采用用以確定風險暴露的流程。雖然了解暴露和管理能力所需的信息類別比較一般化，但實際收集的指標對于云計算SPI模型是特定的，是可以按照服務來采集的。

• 在使用SaaS時，絕大多數信息都由服務提供商提供。組織應在SaaS服務合同責任中制定分析信息的收集流程。

• 當采用PaaS時，建立類似上述SaaS服務的信息采集能力。在可能的地方，包括進部署和從控制中采集信息的能力，建立對這些控制的有效性進行測試的合同條款。

【企業風險管理建議】相關文章：

安全風險管理建議07-26

風險管理建議書06-30

關于安全生產風險管理建議11-27

基層銀行操作風險管理中存在的風險-建議08-07

企業管理的 建議06-22

企業管理的建議06-26

對企業管理的建議07-28

企業管理建議07-07

風險管理合理化建議06-04

• 上一篇：人力資源風險管理論文 人力資源風險管理制度
• 下一篇：返回列表