企業風險管理建議

在雲計算中，有效地治理和企業風險管理是從良好開發的信息安全治理過程得到的，是組織的全面企業治理責任應有的注意(due care)。良好開發的信息安全治理過程會使信息安全管理程序一直可依據業務伸縮、可在組織內重複、可測量、可持續、可防禦、可持續改進且具有成本效益。

雲計算中的治理和企業風險管理的基本問題關係到識別和實施適當的組織架構、流程及控制來維持有效的信息安全治理、風險管理及合規性。組織還應確保在任何雲部署模型中，都有適當的信息安全貫穿於信息供應鏈，包括雲計算服務的供應商和用户，及其支持的第三方供應商。

治理建議

· 一部分從雲計算服務節省的費用必須投資到提升提供商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

• 不管是什麼服務或部署模型，雲計算服務的用户和提供商都應開發健壯的信息安全治理。信息安全治理應由用户和提供商協作來達到支持業務使命和信息安全程序的一致目標。服務模型可以調整協同信息安全治理和風險管理中定義的角色和職責(基於各自對用户和提供商的控制範圍)，部署模型可能定義責任和預期(基於風險評估)。

• 用户組織應包括審查具體的信息安全治理架構和流程，及具體的信息安全控制，作為未來提供商組織的部分應有的責任(due diligence)。應該評估提供商的安全治理流程和能力的充足性、成熟度及與用户信息安全管理流程的連續性。提供商的信息安全控制應基於風險確定並清晰地支持這些管理流程。

• 用户和提供商間的協同治理架構和流程是很必要的，既是部分服務交付(services delivery)的設計和開發，也是風險評估和風險管理協議，然後作為服務協議的一部分。

• 在建立服務水平協議(SLA)及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

• 在遷移進雲端前，測量績效和信息安全管理有效性的指標體系和標準都應建立起來。至少，組織應理解並文檔化他們當前的指標，及運營遷移進雲時，這些指標會如何變動，因為雲提供商可能使用不同的(有可能不兼容)指標。

• 只要有可能，所有服務水平協議(SLA)和合同中都應該包含安全指標和標準(尤其是那些法律和合規性需求相關的)。這些標準和指標應是文檔記錄的並是可證明的(可審計)。

和任何新業務流程一樣，遵循風險管理的最佳實踐很重要。實踐應該與雲服務的具體用途相匹配，這些用途可能從無意的和臨時的數據處理到處理高敏感性數據的關鍵業務流程。對企業風險管理和信息風險管理的全面討論超出了本指南的範疇，以下列舉了一些雲特有的建議，可以整合進已有的風險管理和流程。

• 由於許多雲計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。

• 由於雲計算中的按需提供和多租户特點，傳統形式的審計和評估可能並不適用，或需要更改。例如，一些提供商限制脆弱性評估和滲透測試，而其他的則限制提供審計日誌和實時監控數據。如果這些在內部策略中都是要求的，那麼就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代提供商。

• 至於對組織的關鍵功能使用雲服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產(風險和事件場景)的潛在影響、分析事件/場景的可能性、管理層批准的風險接受水平和標準、多種風險處置(控制、避免、轉嫁、接受)計劃的開發。風險處置計劃的`結果應作為服務合約的一部分。

• 提供商和用户的風險評估方法應一致，影響分析標準和可能性定義也一致。用户和提供商應共同開發雲服務的風險場景，這應該固化在提供商為用户服務的設計中和用户的雲服務風險評估中。

• 資產清單應盤點支持雲服務且在提供商控制下的資產。用户和提供商的資產分類和評估方案(evaluati•n scheme)應一致。.

• 提供商及其服務都應該是風險評估的主題。雲服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

• 如果提供商不能演示證明其服務的全面有效的風險管理流程，用户應詳細評估該供應商，以及是否可以使用用户自身的能力來補償潛在的風險管理差距。

• 雲服務的用户應詢問管理層對雲服務的風險容忍和可接受的殘餘風險是否已經有所定義。

信息風險管理建議

信息風險管理(IRM)是將暴露(exp•sure)與風險聯繫的法則，也是通過數據所有者的風險容忍對其進行管理的能力。如此，對於設計用以保護信息資產的機密性、完整性和可用性(CIA)的信息技術資源，信息風險管理是最優先的決策支持方法。

• 採用風險管理框架模型來評估IRM，用成熟模型來評估IRM模型的有效性。

• 建立適當的合同需求和技術控制，來收集信息風險決策所需要的數據(例如，信息使用、訪問控制、安全控制、位置等)。

• 在開發雲計算項目需求前，採用用以確定風險暴露的流程。雖然瞭解暴露和管理能力所需的信息類別比較一般化，但實際收集的指標對於雲計算SPI模型是特定的，是可以按照服務來採集的。

• 在使用SaaS時，絕大多數信息都由服務提供商提供。組織應在SaaS服務合同責任中制定分析信息的收集流程。

• 當採用PaaS時，建立類似上述SaaS服務的信息採集能力。在可能的地方，包括進部署和從控制中採集信息的能力，建立對這些控制的有效性進行測試的合同條款。