如何实现企业云计算合规性
如何实现企业云计算合规性
2021-04-08
如何实现企业云计算合规性
企业必须遵守一系列广泛且不断变化的规则,尤其是那些受到高度监管的行业。如果公司的信息安全政策和信息技术系统不符合这些准则和政策,企业将面临罚款和其他处罚。金融服务和医疗保健行业的规则包括PCI DSS、SOX、GLBA、HIPAA和HITECH,所有这些规则都提供了关于个人信息处理的具体政策。
因为云的出现,合规性有所调整。为了保护企业,企业需要提出正确的问题,而不仅仅是对云计算的合规性要求进行表面的评估。
检查所有更新规则。合规是一个动态的目标。《健康保险流通和责任法案》经过多次修改后于1996年8月正式通过。根据该报告,合规要求已从员工扩展到业务合作伙伴,如任何第三方承包商。因此,公司必须知道如何确保信息的安全以及员工如何使用信息。该公司还负责了解其合作伙伴的系统是如何建立的,以及如何处理机密信息。
根据信息的重要性。并非所有信息都同等重要。因此,在将信息迁移到云中之前,企业应该首先评估数据,并根据信息的重要性对其进行排序。例如,公司的地址不需要像客户地址一样受到保护,所以维护客户地址更重要。在某些情况下,组织可以始终将高度机密的数据存储在本地,而不是公共云中。对于移动到云的数据,企业需要与云提供商合作建立一个完善的计划。
了解数据存储的具体位置。云面临的挑战之一是它的设计通常是模糊的。信息可以存储在不同的地方,供应商通常有多个数据中心。在某些情况下,主数据中心可以容纳一个“指针”,而不是记录本身。知道数据存储在哪里很重要。必须保证采取的数据保护措施能够回答这些问题:谁能看到数据?谁来管理数据?数据是如何管理的?备份流程是怎样的?备份数据存储在哪里?如何存储备份数据?信息是否与其他组织不同?
了解有关加密服务的更多信息。了解所有云服务的更多信息,包括加密服务,但加密服务是不同的。当信息从一个地方转移到另一个地方时,保护信息是一个很好的起点,但往往是不够的。公司还必须确保数据得到有效保护并存储在存储轴上。服务级别协议应包括信息必须加密的条款。
检查披露政策。全国性零售商塔吉特百货(Target)的一次安全漏洞暴露了100多万用户的隐私信息。塔吉特的问题不仅在于其数据保护系统,还在于该公司在一段时间内对公众隐瞒了该事件。了解信息披露政策。云提供商和公司必须遵守一些规则。短暂的延迟期是不可避免的,因为公司试图理清一些问题,如果延迟,也会造成合规问题。

展开