如何确保云计算的合规性

  云计算的合规性可以确保云计算服务满足用户的合规性要求。但是,采用云计算服务的企业不应假设每个云计算公司都能满足其独特需求,因为他们提供的与合规性相关的服务产品各不相同。

  数据传输、存储、备份、检索和访问需要符合云计算合规性。虽然IT部门往往负责实施合规性,但可能(也可能应该)涉及其他职能部门。这种参与包括决策、监控、审计、治理、安全、数据保护、风险管理,以及法律。

  合规性是一个非常严肃的话题,应该得到深入的理解,因为合规性失败可能导致监管罚款、诉讼、网络安全事件,以及声誉损害。因此,了解云计算提供商提供的服务和企业要求的详细信息非常重要。

  本文概述了云计算合规性的注意事项,并列出了全球三大主要云计算服务提供商Amazon Web Services、Microsoft Azure、Google Cloud中常见的一些服务。有兴趣采购云合规服务的组织应访问相应服务提供商的网站以获取最新信息。

  

 

  云计算合规性问题包括客户合规性和服务合规性管理。

  云计算合规性:关键考虑因素

  当人们考虑云计算合规性时出现的首要问题之一是用户不用管理自己的基础设施。

  如果出现问题,企业将外包作为防御措施是行不通的。实际上,包括AWS和Microsoft Azure在内的云计算提供商强调了云计算合规性是双重责任这一事实。虽然他们对用户有一定的合同责任,但用户必须注意自己的最佳利益。这包括为用户的要求选择正确的服务,正确处理用户控制的配置等。

  确保云计算合规性的其他一些考虑因素包括:

  •数据。确定在云平台中存储的内容以及原因。

  •数据位置。审核员可能会询问数据的位置,但云计算服务提供商可能不会透露该信息。

  •资产管理。云计算服务提供商负责管理其基础设施资产,企业负责管理自己的资产,包括托管的操作系统和应用程序。

  •系统和数据访问控制。合规性往往涉及数据安全性。企业应该了解哪些人可以采用其云计算服务提供商(包括第三方承包商)的服务,并访问哪些内容。

  •配置管理。例如,如果企业错误配置AWS S3存储桶,则由自行承担错误。

  •数据加密。保持合规性通常意味着在静止和运动中加密数据以保护它。

  •共享或私有资源。根据企业的特定合规性要求,可能需要云计算服务提供商的数据中心中的私有数据中心套件。

  •服务水平协议(SLA)。适用于企业的法律和法规可能有服务级别协议要求。这可能会限制其可以使用的服务类型。

  •数据保护。了解云计算提供商保护企业的信息的程度非常重要。

  •合规性认证和法律认可的替代品。并非所有云计算合规性服务都能够通过认证。如果由于某种原因无法进行认证,云计算提供商可能会找到一种符合标准的方法,例如遵守更严格的标准。

  •审计。了解哪些第三方审核云计算合规性并阅读报告。还要了解企业是否有权审核云合规性。

  •事件响应。了解潜在事件的范围以及如果出现这些类型的事件(例如,接收警报和响应速度),应采取何种类型的事件响应。

  •电子发现功能。这是一个法律问题,而不是监管问题。如果企业发现自己处于任何类型的诉讼中,将需要快速访问所请求的数据,并且只访问所请求的数据。

  •安全要求。企业应该了解通常选择正确的云计算服务所需的安全形式。出于合规性目的,需要了解法律或法规要求的安全级别。

  •灾难恢复。发生电力中断。适用于企业的法律和法规可能具有特定的灾难恢复要求。

  •尽职调查。了解如何处理定期尽职调查。

  •信息资源。云计算服务提供商提供的信息资源差别很大。提供大量信息的那些可以帮助用户从一开始就成功实现云计算合规性。

  •合规报告。了解用户可以访问和阅读的合规报告的范围。

  云计算合规服务提供商可能涵盖的内容

  不同的云计算服务提供商以不同方式呈现其云计算合规性服务。一些提供商使用列表而其他提供商使用网格。有些人将事情分类,而有些人则没有。

  例如,AWS公司有三个列表涵盖认证/证明、法律/法规/隐私、路线/框架。微软公司和谷歌公司更喜欢采用用户体验元素。此外,微软公司还将其合规服务分为全球、政府、行业和地区。

  由于信息的呈现因服务提供商而异,因此用户应仔细审查产品。在合规性方面,假设是危险的,因此IT部门应与上述其他职能部门合作,以确保合规的覆盖范围。

  全球三大云计算提供商共有的云计算合规性资源包括:

  •欧洲的云计算互联网服务提供商(CISPE)——这是一家促进高级别安全和数据保护的非营利组织。

  •明确合法的海外使用数据法(云计算法案)——即2018年颁布的美国联邦法律。

  •互联网安全中心(CIS)基准——防止网络攻击的配置指南。

  •刑事司法信息服务(CJIS)——由执法部门、国家安全部门、情报部门针对云计算技术提出的一套建议。

  •云计算安全联盟(CSA)——最佳实践。

  •英国国家网络安全中心——颁发的网络基础设施及认证机构

  •1974年“家庭教育权利和隐私法”(FERPA)——美国联邦政府颁布的一条法律,管理公共实体(包括潜在雇主、公共资助教育机构、政府部门)获取教育信息和记录。

  •欧盟-美国隐私保护——数据保护框架。

  •美国联邦风险和授权管理计划(FedRAMP)——安全标准认证

  •美国联邦信息处理标准(FIPS)——用于批准加密模块的美国政府计算机安全标准。

  •欧盟通用数据保护法规(GDPR)——欧盟的隐私保护替代品,于2018年生效。

  •G-Cloud——简化英国政府实体采购技术产品和服务的框架。

  •健康保险流通与会计法案(HIPAA)——保护云计算系统中健康信息的指南。

  •ISO 9001——质量管理体系(QMS)的国际标准

  •ISO 27001——一种国际标准,规定了在组织范围内建立、实施、维护、持续改进信息安全管理系统的要求。

  •ISO 27017——一种国际标准,为适用于提供和使用云计算服务的信息安全控制提供指导。

  •多层云战略(MTCS SS584)——新加坡的健全风险管理和安全实践标准、透明度和问责制。

  •美国电影协会(MPAA)——内容安全的最佳实践。

  •号码法案——2016年颁布的日本12位个人识别号码系统。

  •美国国家标准与技术研究院(NIST)800-53 ——美国联邦信息系统的安全和隐私控制目录。

  •支付卡行业数据安全标准(PCI DSS)——包含存储、处理或传输支付卡持卡人数据的任何企业的12项要求的标准。

  •美国证券交易委员会(SEC)第17-a条——经纪人-交易商数据保存规则。

  •系统和组织控制(SOC)1 ——服务组织控制的报告,可能与用户实体对财务报告的内部控制相关。

  •系统和组织控制(SOC)2——评估组织与安全性、可用性、处理完整性、机密性或隐私相关的信息系统的报告。

  •系统和组织控制(SOC)3——与SOC 2不同的报告,没有详细说明所执行的测试,并且旨在用作营销材料。

用户喜欢...

大数据如何改变社交媒体营销

如今,大数据在市场营销中发挥重要作用,并以许多方式正在改变社交媒体营销。 大数据是近年来促进营销领域的最令人印象深刻的技术进步之一。虽然在某些圈子里,大数据已经成为一个流...


区块链如何改变大数据行业?

很多人都听到过大数据这个术语,它可能出现在与科技行业相关的视频中,也可能出现在人们的办公室里。大数据是2019年的热门话题之一,每个技术爱好者都在讨论它带来的变化和影响。 大数...


从云计算大数据等方面建立评价体系

中国生产力学会承办的第十九届世界生产力大会将于2019年11月16日至18日在中国成都召开。来自世界不同的国家或地区的工商界领袖、政界人物、行业管理者、生产力科学领域专家学者等相关人...


如何在多云环境中管理数据?

在多云环境中建立数据治理策略没有灵丹妙药。在这里,我们将讨论为什么会有这种说法的原因,以及有关多云环境的IT领导者如何思考数据治理的一些方法。 数据治理有点像健身:它不仅仅...


数据分析是如何推动游戏行业发展的?

2018年,电子游戏行业收入达到434亿美元,再创新高,同比增长18%。这一蓬勃发展的领域孕育了更为复杂和广泛的游戏格式,包括桌面、移动、控制台、VR等。事实上,数据分析师和BI开发人员正...


大数据时代如何避免陷入“算法崇拜”?

数据在今天从来没有如此被广泛关注,以往我们毫不在意地填写手机号码等信息,如今却变得谨慎起来,原因是怕自己的隐私泄露,一个手机号码可以关联到自己诸多的数据。但现实当中,一...


新零售时代如何让沉睡数据发挥价值

马云曾说过未来更值钱的是数据。虽然不少零售企业拥有大量的数据,但90%沉睡在数据库中,并没有真正发挥价值。在今年的新零售私董会圆桌论坛上,上海久久丫CIO俞荣标、前罗莱生活互联...


华为涪陵云计算大数据中心作为华为全国重要节点投入运营

8月8日,华为涪陵云计算大数据中心作为华为全国重要节点正式投入运营。未来,该中心将打造成为西南地区有重要影响力的云计算产业示范基地。 华为涪陵云计算大数据中心位于涪陵新城区...


制造企业如何利用大数据提升竞争力?

人类正从IT时代走向DT时代,信息社会已经进入了大数据(Big Data)时代。大数据的涌现改变着人们的生活与工作方式,也改变着制造业企业的运作模式。 在这信息化时代,企业运营的方方面面都...


大数据技术如何强化风险治理

随着城市规模逐渐扩大、城市人口日益多元复杂,城市社会风险也随之加剧。不过,大数据时代的到来,使得城市灾害风险治理模式有望出现重大变革。根据过去发生的灾害风险来分析把握现...


大数据云计算为智慧交通提速

近日,上海大众交通(集团)股份有限公司与华为技术有限公司、上海经达信息科技股份有限公司于华为上海研究所签订框架合作协议,三方将在全国城市交通运输领域内,就5G、云计算、大数据...


如何做好大数据安全工作?请做好这四点

现在很多企业可以利用大数据处理和分析来业务系统中的各类数据,指导业务的发展,然而数据泄露也给企业带来巨大的隐患。 大数据体量庞大,传统的系统数据处理方式已经无法完成这么大...


大数据时代已来 开发者该如何出击?

人工智能、大数据、物联网、区块链作为当今信息化发展的新兴技术,离我们的生活越来越近,他们之间也存在着本质的联系,如果将它们看做是我们身体,大数据则是这些触觉到外部信息的...


如何使用大数据提供优化的客户体验

大数据可能是帮助企业提供优化客户体验的主要工具。人们需要了解其工作原理和原因。 业务成功始于客户体验,并以客户体验结束。根据最近的研究,90%的买家愿意花更多的钱来获得更好的...


什么是城市大数据?大数据如何应用在智慧城市中?

今年智慧城市很火,尤其各种大数据的应用,比如智慧交通,智慧社区等等,那么到底什么是智慧城市?什么是大数据? 什么是城市大数据? 随着数据处理技术的不断进步,人们对于数据应用的意...


大数据时代如何安全使用WIFI?牢记以4个安全要点

伴随着互联网+、数字经济工业互联网、智能制造互联网转型等关键词的提出,互联网和大数据在各行各业中得到广泛应用,互联网的快递发展对经济、金融、消费习惯、思维习惯等等都带来了...