存储在线根据IT行业学会组织CompTIA最近的一项调查研究显示,尽管许多企业都十分关注他们的数据在云中的安全问题,但仍旧只有少数的企业在签订合同之前对他们的云服务供应商进行了全面的数据安全审查工作。
“尽管相当一部分的企业均关注数据的安全性问题,但在我们的研究中,只有29%的受访企业表示,他们认真而全面的调查了云服务供应商的安全实践方案。”CompTIA研究副总裁蒂姆·赫伯特表示。
“这是极其错误的。”MSPAlliance联合创始人兼总裁查尔斯·韦弗表示。MSPAlliance作为一家认证和标准制定机构管理服务提供商(MSP),为15000家成员企业提供服务。
“现在,我们主要关心的是当前有很多新的服务提供商进入该领域,却对于如何构建和提供服务几乎是抱着宽松的态度。”韦弗说。“他们似乎是大多在云服务的边缘。”
韦佛解释说,这些服务提供商往往分为两派:为中小企业低端市场的企业本身提供端到端的解决方案,但实际上却是一些尚未意识到由MSP行业长期建立起来的一套“云计算”标准的经销商或服务提供商。
韦佛表示,企业在考虑选择云服务供应商时应该考察如下三点:
信任。 “他们必须获得信任。”他说,“这是来自于您的亲和力。取决于您企业的原则和风气是在一种十分融洽的环境下工作。这是一种非常亲密的关系。必须基于一种相互尊重和信任才能一起工作。”
对专业技术知识的充分熟练和理解。云服务供应商必须对其自己的专业技术以及您企业的相关业务均相当的熟练和了解。他们必须了解您企业当下正在做的业务,并配合他们的技术专长,发挥优势,韦弗说。如果你是一家银行的首席信息官,你需要外包的一些IT战略要素,那么,您的管理服务提供商就需要了解银行相关业务以及您打算外包的相关内容。
第三方审核。云服务供应商必须能够证明他们可以严格履行他们的承诺。您必须通过不断的审查和调整来管理您企业的敏感数据及最终用户,韦弗说。尽管他不相信更多的政策监督会有助于提升云服务的空间,但他仍然表示,企业应充分验证并审核他们的供应商的能力。
所以你期望通过审核能够达到什么标准?该MSPAlliance机构提供了一套的云服务及管理服务提供商统一认证标准(UCS)。该机构在签发相关 的证书之前,必须考察服务提供商是否遵守了11大控制目标。企业可以以这十一条统一认证标准为控制导向,来选择云服务供应商。这十一条控制目标如下:
供应商的组织、管理、规划和风险管理。供应商必须证明他们有一套正规的管理结构和组织结构图、风险评估策略,可供第三方服务提供商和供应商进行形式化的过程分析,以及相关的组织管理结构,以便有适当的职责分离。
成文的政策和程序。供应商必须提供他们的成文的政策和程序,并每年进行一次的审查和更新。员工必须要充分理解和坚持的公司制定的相关政策和程序,同时,新员工必须经过正规的培训、教育,通过相关统一标准的测试。
服务变更管理。供应商必须有服务变更管理文档以便进行变更控制。MSPAlliance建议的文件包括,容量规划,并修改供应商和客户端的配置。认证也需要客户必须基于服务供应商的相关变化管理政策进行相关策略的变更。
事件管理。供应商必须有足够的获得网络运营中心(NOC)配备的训练有素的工作人员,进行必要的监测和管理,以便识别和解决供应商和客户之间的服务 级别协议(SLA)所涵盖的相关问题或事件。此外,供应商必须能够提供一个问题管理系统,包括帮助服务台和监控/管理系统集成的票务平台。此外,该供应商 必须能够证明他们定期进行事件报告的内部审查。
逻辑安全。用户访问供应商和客户的信息系统和数据的权限必须在相关政策和程序的基础上被授予,重新分配或终止权限的员工必须基于相关成文的政策和程 序撤销自己的访问。供应商必须显示文档以便控制用户认证信息系统和数据,包括密码策略和上层管理审查。该控制存在内部和远程访问。此外,供应商必须有书面 的管理员身份证政策,以及对供应商和第三方准入政策的记载和主题的管理审查。这也适用于物理访问操作和数据中心以及信息系统和数据。此外,供应商必须有第 三方评估的供应商或客户信息系统。
变更管理。认证要求供应商证明他们必须有正式的程序变化管理政策和变更管理信息系统,包括一个正式的处理请求、记录、批准、测试和验收变化。供应商还必须显示他们的紧急变化具有正式的审查流程。
数据的完整性。供应商必须证明它有足够的信息安全政策和程序,运行有效。每年都必须有严格的政策和程序审查,批准更新,并传达给供应商的全体员工。这包括数据备份保留策略。
物理和环境安全。供应商必须有物理访问IT资产的明文政策规定,包括来访的客人日志适用设施。还必须在每一太设备都显示安全控制,包括钥匙卡、闭路 电视、现场安全和其他有效的安全控制。供应商必须显示供应商的终端员工访问客户设备的记录控制文档。显示物理访问共同硬件设备的记录,必须执行每个设施的 安全评估,包括跟踪和解决任何问题的所确定的评估。此外,该网络运营中心和数据中心必须采用环境维护、保养和测试维护合同以保护其免受破坏性事件损害。网 络运营中心必须拥有有效的连接和电源冗余,包括灾难恢复记录/业务连续性计划。
服务水平协议。供应商必须与客户签署服务水平协议(SLA),并能够跟踪和监控他们为客户提供的服务。控制还必须包括在供应商的系统内跟踪修改客户端的安装设置。
客户报告,计费账单和满意度。供应商必须能够提供业绩报告,依照与客户签署的协议提供相关的计费发票。
财务状况。供应商必须显示其稳定的、健康的财务状况,至少前六个月的是盈利的,或者即使没有盈利也必须有足够的资本来证明其稳定。其必须有足够的收入来自多个客户。