云计算合规性可确保云计算服务满足用户合规性要求。但是,采用云计算服务的公司不应假设每个云计算公司都能满足其独特需求,因为它们提供不同的合规相关服务。
如何确保云计算合规性
数据传输,存储,备份,检索和访问需要符合云计算合规性。虽然IT部门经常负责实施合规性,但他们可能(也可能应该)涉及其他职能。这种参与包括决策,监督,审计,治理,安全,数据保护,风险管理和法律。
合规性是一个非常严肃的主题,应该深入理解,因为合规性失败可能导致监管罚款,诉讼,网络安全事件和声誉损害。因此,了解云计算提供商提供的服务和业务要求的详细信息非常重要。
本文概述了云计算合规性的注意事项,并列出了Amazon Web Services,Microsoft Azure和Google Cloud(全球三大云计算服务提供商)常见的一些服务。有兴趣购买云合规服务的组织应访问相应的服务提供商的网站以获取最新信息。
云合规性问题包括客户合规性和服务合规性管理。
云计算合规性:关键考虑因素
当人们考虑云计算合规性时出现的首要问题之一是用户无需管理其基础架构。
如果出现问题,公司外包作为防御措施是行不通的。实际上,云计算提供商(包括AWS和Microsoft Azure)强调云计算合规性是双重责任这一事实。虽然他们对用户有一定的合同责任,但用户必须注意他们的最大利益。这包括根据用户的要求选择正确的服务,正确处理用户控制的配置等。
确保云计算合规性的其他一些考虑因素包括:
数据。确定云平台中存储的内容及其原因。
数据位置。审核员可能会询问数据的位置,但云服务提供商可能不会透露该信息。
资产管理。云计算服务提供商负责管理其基础架构资产,公司负责管理自己的资产,包括托管的操作系统和应用程序。
系统和数据访问控制。合规性通常涉及数据安全。公司应该了解谁可以使用其云计算服务提供商(包括第三方承包商)的服务以及他们访问的内容。
配置管理。例如,如果企业错误配置AWS S3存储桶,则风险自负。
数据加密。维护合规性通常意味着加密静态和动作中的数据以保护它。
共享或私有资源。根据企业的特定合规性要求,可能需要云计算服务提供商的数据中心中的私有数据中心套件。服务水平协议(SLA)。适用于企业的法律和法规可能具有服务级别协议要求。这可能会限制它可以使用的服务类型。
数据保护。了解云计算提供商保护公司信息的程度非常重要。
合规认证和法律认可的替代品。并非所有云合规性服务都经过认证。如果由于某种原因无法进行身份验证,云提供商可能会找到符合标准的方法,例如遵守更严格的标准。
审计。了解哪些第三方审核云计算合规性并阅读报告。还要了解公司是否有权审核云合规性。
事件响应。了解潜在事件的范围以及在发生这些类型的事件时应采取何种类型的事件响应(例如,接收警报和响应速度)。
电子发现功能。这是一个法律问题,而不是监管问题。如果企业发现自己处于任何类型的诉讼中,则需要快速访问所请求的数据并仅访问所请求的数据。
安全要求。公司应该了解选择正确的云计算服务通常需要的安全形式。出于合规目的,您需要了解法律或法规要求的安全级别。
灾难恢复。停电已经发生。适用于企业的法律和法规可能具有特定的灾难恢复要求。
尽职调查。了解如何处理定期尽职调查。
信息资源。云计算服务提供商提供的信息资源差异很大。那些提供大量信息的人可以帮助用户从一开始就成功实现云计算合规性。
合规报告。了解用户可以访问和阅读的合规性报告的范围。
云合规服务提供商可能涵盖的内容
不同的云计算服务提供商以不同的方式呈现其云计算合规性服务。一些提供商使用列表而其他提供商使用网格。有些人对事物进行分类,而有些则没有。
例如,AWS有三个列表,包括认证/认证,法律/监管/隐私,路线/框架。微软和谷歌更愿意采用用户体验元素。此外,微软还将其合规服务分为全球,政府,行业和地区。
由于信息的呈现因服务提供商而异,因此用户应仔细查看产品。在合规性方面,假设是危险的,因此IT部门应与上述其他职能部门合作以确保合规性覆盖。
全球三大云计算提供商共享的云计算合规性资源包括:
欧洲云计算互联网服务提供商(CISPE)——这是一个促进高水平安全和数据保护的非营利组织。
澄清合法的海外使用数据法(云计算法)——是2018年颁布的美国联邦法。
Internet安全中心(CIS)基准测试——配置指南,用于防止网络攻击。
刑事司法信息服务(CJIS)——一套针对执法,国家安全和情报的云计算技术的建议。云安全联盟(CSA)——最佳实践。
网络基础设施和认证机构由英国国家网络安全中心——发布
1974年“家庭教育权利和隐私法”(FERPA)——美国联邦政府颁布的一项法律,旨在管理公共实体(包括潜在雇主,公共资助的教育机构,政府机构)获取教育信息和记录。
欧盟 - 美国隐私保护——数据保护框架。
美国联邦风险和授权管理计划(FedRAMP)——安全标准认证
美国联邦信息处理标准(FIPS)——美国政府计算机安全标准,用于批准加密模块。
欧盟通用数据保护条例(GDPR)——欧盟的隐私保护替代方案,于2018年生效。
G-Cloud——简化英国政府实体购买技术产品和服务的框架。
健康保险流通与会计法案(HIPAA)——云计算系统中保护健康信息的指南。
ISO 9001——国际质量管理体系标准(QMS)
ISO 27001——一种国际标准,规定了在组织内建立,实施,维护和不断改进信息安全管理系统的要求。
ISO 27017——一种国际标准,为适用于提供和使用云计算服务的信息安全控制提供指导。
多层云战略(MTCS SS584)——新加坡健全的风险管理和安全实践标准,透明度和问责制。
美国电影协会(MPAA)——内容安全最佳实践。
编号Bill 0,1772日本2016年颁布的12位个人识别号码系统。
美国国家标准与技术研究院(NIST)800-53——美国联邦信息系统安全和隐私控制目录。
支付卡行业数据安全标准(PCI DSS)——包含存储,处理或传输支付卡持卡人数据的任何企业的12个必需标准。
美国证券交易委员会(SEC)第17章-——经纪人交易者数据保存规则。
系统和组织控制(SOC)1——服务组织控制的报告,可能与用户实体对财务报告的内部控制有关。
系统和组织控制(SOC)2——评估组织对与安全性,可用性,处理完整性,机密性或隐私相关的信息系统的报告。
系统和组织控制(SOC)3——与SOC 2不同的报告,未指定所执行的测试,并且旨在用作营销材料。
中文
电话咨询
微信咨询
公众号
