使用风险管理来预防安全事件
直接盲目地将数据与 IT 服务传递到云或从云取出或使用,就好像在厚重的云层中单单只用视觉来驾驶飞机。当有严重风险时,驾驶会失去方向,找不到路。
上述情况,并不表示多云天气下驾驶飞机是不可能的任务或特别危险。
相反的,根据调查,超过 90% 的飞行者会运用各类仪器飞行,即使是在恶劣的天气下飞行,也可以利用各类飞行仪器安全驾驶。
云服务的使用好比上述在厚重的云层中驾驶飞机一样。 云服务的风险来自于用户与提供商之间的策略性与合同性的风险。
这些风险会在本书法律与税务章节再做论述。另外,不甚可靠的 IT 服务也会衍生其他风险。
IT 操件凤险
IT 操作风险是何意? IT 操作风险指由于 IT 系统、IT 基础架构或相关设施故障而造成的企业风险,包括无法获得服务、丧失保密性及完整性。
对企业来说,关键与非关键的 IT 服务都在支撑着企业运营。 如果企业的业务流程,如销售、人力资源、财务与审计等管理,不能受到可信赖的IT 服务支持,这些企业的经营管理将会受到负面影响(参见图 3.2 )。
风险成因
云环境中不能令人完全信赖的 IT 服务,会对企业的业务流程造成可能的伤害。所以必须了解云风险对企业的影响。无论在传输过程,还是提供服务给企业的作业流程中,所发生的故障,都会在一定程度上增加风险。
安全事件侦查
安全事件侦查对云用户来说并不容易。通常在具有组织内部部署数据处理的 E 环境中,可利用内部安全等工作事故管理程序进行监控、记录文件分析、入侵检测,及资料外泄防护 (Data Loss Prevention ,DLP ) 。 云外包时,不只是云服务的部分,还包括相当大部分的安全事件的管理,因此必须将安全事件管理纳入与云提供商所签的合同中。
