云风险管理与合规性：从ISO 31000到CSA STAR

云风险管理与合规性：从ISO 31000到CSA STAR

背景简介

随着云计算成为企业IT基础架构的关键组成部分，企业必须面对与之相关的法律、风险与合规性挑战。本文将探讨风险管理标准ISO 31000:2018、ENISA的云风险评估框架、NIST的风险框架以及云服务提供商的选择标准。

ISO 31000:2018

ISO 31000:2018标准提供了设计、实施和审查组织内风险管理流程的通用建议。与2009年的版本相比，2018年的更新更侧重于战略指导，并将风险定义为“目标不确定性的影响”，这包括正面和负面影响。

风险管理步骤

ISO 31000推荐的风险管理步骤包括： - 避免风险 - 接受或增加风险 - 移除风险源 - 改变可能性或后果 - 与其它方共享风险 - 保留风险

ENISA的云风险评估

ENISA的“云计算风险评估”指南确定了企业在政策和组织、技术、法律等方面需考虑的35种风险类型，并列出了53种漏洞类型和基于影响与可能性的前八位安全风险。

NIST风险框架

NIST的800-146指南为SaaS、PaaS和IaaS云环境提供了全面的风险与利益指南。此外，NIST 800-37为信息系统提供了一套通用的风险管理框架。

风险管理指标

企业可以通过跟踪关键的网络安全指标来展示可衡量的数据，这些指标包括： - 补丁级别 - 入侵尝试次数 - 平均检测时间（MTTD） - 平均封堵时间（MTTC） - 平均解决时间（MTTR）

风险环境评估

云服务提供商可能面临业务模式变更、被收购甚至破产。在考虑使用云服务时，企业应询问多个问题，并进行尽职调查。

ISO 15408-1:2009 - 通用准则

信息技术安全评估的通用标准为信息安全认证的国际标准。尽管产品可能获得认证，但认证并不等同于完全安全。

CSA STAR

CSA的STAR认证为云服务提供商的透明度和保证提供了一个有价值的工具。STAR认证有三个级别： - 第1级自我评估 - 第2级认证 - 第3级连续审计

合同设计与外包

企业应完全了解自己的业务需求以及如何通过云服务得到满足。合同中的关键部分包括： - 客户协议 - 可接受使用政策（AUP） - 服务水平协议（SLA）

SLA要求

SLA应详细说明服务指标，如正常运行时间和服务违规处罚。此外，SLA还应包括以下方面： - 服务中断保证 - 违规处罚及其排除和限制 - 服务暂停条款 - 数据保护和管理 - 灾难恢复目标

总结与启发

企业在选择云服务提供商时，应深入评估其财务稳定性、法律管辖区域、诉讼状况、定价保护措施、合规要求满足能力以及故障转移、备份和恢复计划。通过ISO和CSA等认证标准，企业可以确保其选择的云服务提供商符合安全和合规性要求。同时，制定周密的云服务合同将有助于管理风险并确保业务连续性。

在云时代，风险管理与合规性不再是可有可无的选项，而是企业必须掌握的核心能力。通过本文的分享，希望能帮助企业更好地应对云环境中的风险与挑战，确保业务安全、稳定地发展。