隨著云計(jì)算逐漸發(fā)展成為一種可行的且具有高性價(jià)比的整體系統(tǒng)、甚至整體商業(yè)流程外包方式，如何通過執(zhí)行安全策略和相關(guān)法規(guī)，來保持組織自身的合規(guī)性已經(jīng)成為一個(gè)課題，并且變得越來越困難，特別是如何演示給審計(jì)者和評估者更是一個(gè)難題。

目前IT技術(shù)相關(guān)的法律法規(guī)在編寫時(shí)大多沒有將云計(jì)算考慮在內(nèi)。通常情況審計(jì)者和評估者可能對云計(jì)算不熟悉，有時(shí)候也許使用過特定的云服務(wù)。基于以上情況，云的消費(fèi)者需要理解以下幾點(diǎn)：

· 使用特定云服務(wù)時(shí)的監(jiān)管法規(guī)適用性

· 云提供商和消費(fèi)者在合規(guī)責(zé)任上的區(qū)別

· 云提供商提供合規(guī)所需資料的能力

· 云消費(fèi)者需要協(xié)助云提供商縮小和審計(jì)者/評估者之間的差異.

建議

• 引入法律和合同團(tuán)隊(duì)。云提供商的標(biāo)準(zhǔn)服務(wù)可能無法滿足你的合規(guī)需求;因此法律和合同團(tuán)隊(duì)的早期介入對于保證云服務(wù)合同條款滿足合規(guī)和審計(jì)要求是有好處的。

• 審計(jì)條款的權(quán)利。由于云和管理環(huán)境的動(dòng)態(tài)變化特點(diǎn)，消費(fèi)者經(jīng)常需要審計(jì)云提供商的能力。特別是當(dāng)云消費(fèi)者有合規(guī)責(zé)任時(shí)，審計(jì)合同條款的權(quán)利應(yīng)該可以隨時(shí)獲得。隨著云提供商獲得了相關(guān)的認(rèn)證，這種需求應(yīng)該會(huì)逐漸減少，稍后我們會(huì)介紹ISO/IEC 27001認(rèn)證的相關(guān)內(nèi)容。

• 分析合規(guī)的范圍。對于給定的應(yīng)用和數(shù)據(jù)，確定組織遵守的合規(guī)條例是否會(huì)受到使用云服務(wù)的影響。

• 分析合規(guī)條例對數(shù)據(jù)安全的影響。潛在的云服務(wù)消費(fèi)者應(yīng)該考慮哪種應(yīng)用和數(shù)據(jù)適合以云服務(wù)的形式提供，以及這種服務(wù)合規(guī)的范圍。

• 審核相關(guān)的合作伙伴和服務(wù)提供商。這是保證服務(wù)提供商不會(huì)對合規(guī)起負(fù)面作用的基本指導(dǎo)。基礎(chǔ)的做法是，評估那些處理有合規(guī)性要求的數(shù)據(jù)的服務(wù)提供商，進(jìn)而評估這些服務(wù)提供商的安全控制手段。有些合規(guī)性法規(guī)對如何訪問和管理第三方廠商風(fēng)險(xiǎn)有專門的說明。對于那些沒有在自身IT和業(yè)務(wù)服務(wù)中采用云架構(gòu)的組織，也需要了解其云業(yè)務(wù)合作伙伴在處理數(shù)據(jù)時(shí)是否遵從合規(guī)性法規(guī)。

• 理解合同中的數(shù)據(jù)保護(hù)責(zé)任和相關(guān)的合同。云服務(wù)模型要求，消費(fèi)者或者是云服務(wù)提供商都有責(zé)任部署安全控制策略。相對于SaaS(軟件即服務(wù))來說，IaaS(基礎(chǔ)架構(gòu)即服務(wù))場景中的消費(fèi)者具有較高的控制度和責(zé)任。從一個(gè)安全控制標(biāo)準(zhǔn)點(diǎn)來看，這意味著IaaS的消費(fèi)者將需要為合規(guī)部署很多安全控制點(diǎn)。在SaaS場景中，云服務(wù)提供商必須提供必需的(安全)控制。從合同的角度來看，理解特殊的需求，并保證云服務(wù)合同和服務(wù)水平協(xié)議(SLA)可以最終解決合規(guī)性的問題。

• 分析合規(guī)條例對提供商基礎(chǔ)架構(gòu)的影響。將基礎(chǔ)架構(gòu)遷移到云服務(wù)上同樣需要慎重的分析。某些管理要求決定了控制策略很難，或者不可能以云服務(wù)類型進(jìn)行部署。

• 分析合規(guī)條例對政策和規(guī)程的影響。將數(shù)據(jù)和應(yīng)用遷移到云服務(wù)上將可能對政策和規(guī)程產(chǎn)生影響。消費(fèi)者應(yīng)該評估那些與合規(guī)條例相關(guān)的政策和規(guī)程，有關(guān)的例子包括活動(dòng)報(bào)告、日志、數(shù)據(jù)保存、事故響應(yīng)、控制測試以及隱私政策等。

• 準(zhǔn)備滿足合規(guī)需求的證據(jù)。 如何從大量的合規(guī)條例和要求中收集合規(guī)的證據(jù)將是一個(gè)挑戰(zhàn)。云服務(wù)的消費(fèi)者應(yīng)該指定出收集和存儲合規(guī)證據(jù)的流程，包括日志、事件報(bào)告、系統(tǒng)配置備份、變更管理報(bào)告和其他流程輸出資料�；�于云服務(wù)模型，云提供商可能需要提供類似的大量信息。

• 審計(jì)師的資質(zhì)和選擇。在很多時(shí)候組織沒有權(quán)利去選擇審計(jì)師或安全評估人員。如果組織有一定選擇的權(quán)利(selection input)，由于很多審計(jì)師對云和虛擬化技術(shù)不熟悉，強(qiáng)烈建議選擇一個(gè)對云有一定了解的審計(jì)師。詢問一下關(guān)于IaaS/PaaS/SaaS相關(guān)術(shù)語的熟悉程度是一個(gè)不錯(cuò)的開始點(diǎn)。

• 云提供商的SAS 70 Type II。提供商應(yīng)該有最低級別的審計(jì)聲明，因?yàn)槠湟獮閷徲?jì)師和評估人員提供一個(gè)可識別的參考點(diǎn)。由于SAS 70 Type II只保證文檔中安全控制的實(shí)施，所以理解SAS 70 Type II審計(jì)的范圍和安全控制是否滿足你的要求是同等重要的。

• 云提供商通過ISO/IEC 27001/27002的計(jì)劃。提供關(guān)鍵服務(wù)的云提供商應(yīng)該在信息安全管理系統(tǒng)中達(dá)到ISO/IEC 27001的標(biāo)準(zhǔn)。如果云提供商沒有通過ISO/IEC 27001的認(rèn)證，他們應(yīng)該證明與ISO 27002實(shí)踐的契合程度。

• ISO/IEC 27001/27002的范圍(Scoping)。云安全聯(lián)盟正在業(yè)內(nèi)呼吁未通過ISO/IEC 27001認(rèn)證的云提供商聯(lián)合起來，以保證范圍定義沒有忽略關(guān)鍵的認(rèn)證準(zhǔn)則。