企業云計算合規性如何實現

2014-05-15 16:55:01 大云網　點擊量：評論 (0)

企業必須符合廣泛的且不斷變化的規則清單，處在高度管制行業的企業更是如此。如果公司的信息安全策略和IT系統沒有遵守這些方針政策，那么，企業將面臨罰款和其他處罰。金融服務和醫療保健等行業的規則包

企業必須符合廣泛的且不斷變化的規則清單，處在高度管制行業的企業更是如此。如果公司的信息安全策略和IT系統沒有遵守這些方針政策，那么，企業將面臨罰款和其他處罰。金融服務和醫療保健等行業的規則包括PCI DSS、SOX 、GLBA 、HIPAA和HITECH ，這些規則都提供了有關個人信息處理的具體方針政策。
因為云的出現，合規性進行了新的調整。為了保護企業，企業需要提出正確的問題，而不只是對云計算的合規需求做表面評估。
檢查所有規則的更新。合規是一個動態的目標。健康保險流通與責任法（ HIPAA ）經過多次細化，于1996年8月正式通過。報告稱合規需求從公司員工擴大到業務伙伴，如任何第三方承包商。因此，公司必須了解如何保證信息的安全以及員工如何使用。公司還負責了解其合作伙伴的系統是如何設置的，以及如何處理機密信息。
根據信息的重要性排序。并非所有的信息都同等重要。因此，將信息遷移到云之前，企業首先應進行數據評估，并將信息按重要性排序。例如，公司的地址沒有必要像客戶地址那樣，必須得到保障，因此，維護客戶地址更重要。在某些情況下，組織可以將高度機密的數據永遠存儲在本地，而不是在公有云中。對于移動到云中的數據，企業需要與云提供商合作，從而建立健全的程序。
了解數據存儲的具體位置。云所面臨的一個挑戰是其往往設計的模糊不清。信息可以存儲在不同的地方，供應商通常也有多個數據中心。在某些情況下，主要的數據中心可以容納一個“指針”，而不是記錄本身。了解數據存儲的位置至關重要。必須確保采取的數據保護手段能夠回答這些問題：誰能夠看到這些數據？誰來管理數據？數據是如何管理的？備份過程是怎樣的？備份數據存儲在哪里？備份數據如何存儲？信息與其他組織的信息是否區分開？
了解有關加密服務的詳細信息。了解有關所有云服務，包括加密服務的詳細信息，但是加密服務不盡相同。當信息從一個地方轉移到另一個地方，保護信息是一個很好的出發點，但這往往是不夠的。公司還必須確保數據被有效保護，存儲在存儲主軸上。服務級別協議中應包含信息必須被加密的規定。
檢查披露政策。全國零售商Target的一個安全漏洞泄露了100多萬用戶的私人信息。 Target的問題不僅僅在于Target的數據保護系統，還在于：一段時期以來，該公司向公眾隱瞞該事件。了解信息披露政策。有一些規則云供應商和公司都必須遵守。短暫的延遲期是不可避免的，因為公司試圖理清一些問題，如果拖延的話，還會產生合規性問題。