文章目錄

• • 云計算相關的監管合規要求和特有風險
  • • 相互沖突的國際法律
    • 云計算特有法律風險評價
    • 法律框架和指導原則
    • 電子取證
    • 取證要求
  • 理解隱私問題
  • • 合同PII以及受監管PII的差異
    • PII和數據隱私相關的國家特定法律
    • 機密性、完整性、可用性和隱私性之間的差異
    • 隱私要求標準
  • 理解審計流程、方法論和云環境所需的調整
  • • 內外部審計控制體系
    • 審計要求的影響
    • 虛擬化和云環境的保障挑戰
    • 審計報告類型
    • 審計范圍限制
    • 差距分析
    • 審計規劃
    • 內部信息安全管理體系
    • 內部信息安全控制系統
    • 策略
    • 利益相關方的識別和參與
    • 高度監管行業的特殊合規要求
    • 分布式IT模型的影響應
  • 理解云對企業風險管理的影響
  • • 評估云服務提供商的風險管理態勢
    • 數據所有方/控制方與數據托管方/處理方之間的差異
    • 風險處理
    • 不同的風險框架
    • 風險管理指標
    • 風險環境評估
  • 了解外包和云合同設計
  • 業務需求
  • • 供應商管理
    • 合同管理
  • 履行供應商管理
  • 參考文獻

云上 法律、風險與合規注意事項

云計算相關的監管合規要求和特有風險

云環境通常跨越多個司法管轄權區域，并在各國政策方面產生大量與適用監管合規相關的復雜問題，以及與數據收集和數據探查要求相關的技術問題。

相互沖突的國際法律

法律方面可能包括用戶的物理位置、用戶輸入系統的數據類型、管理自有應用程序的組織法規、可能適用的所有監管合規要求，以及適用于IT資源所在地和數據實際存儲地的司法管轄權區域的相應法律法規，相關法律法規也可能處于多個司法管轄權區域內。

云計算特有法律風險評價

在云環境中，云客戶依賴于真正擁有并運營整個系統和服務的云服務提供商。從法律角度區分云環境的主要區別在于“多租戶”概念，即允許云客戶彼此共享相同的物理硬件和系統。這種共享使得云服務提供商不僅在合同上綁定云客戶組織，而且與使用相同托管環境的所有其他組織綁定，因此云服務提供商無法簡單地捕獲系統并將任意數據交給調查人員或監管機構，因為云服務提供商需要確保未從其他云客戶那里捕獲數據或日志，避免暴露給第三方。無論組織的系統及服務托管位于何處,組織對其使用和存儲的所有數據都負有法律責任。

法律框架和指導原則

由于云環境的復雜性和完全地理上不同的實現方式，云平臺的所有系統和應用程序都將受到各種不同的法律和司法管控。

電子取證

電子取證(eDiscovery)是搜索、識別、收集和保護電子數據和記錄的流程，最終，將在刑事或民事訴訟中使用電子取證的數據和記錄。通常，在傳統數據中心收集和識別流程更容易,也更簡單，由于物理系統是已知的，可很容易地隔離或離線并保留數據。在云環境中，所有系統和數據都通過虛擬化實現，因此，云環境面臨更多挑戰和復雜性。

取證要求

取證(Forensics)采用科學和系統的流程，對數字信息和證據開展識別、收集、保留、分析和總結/報告。取證是云安全專家可使用的最強大工具和概念之一，用于確定任何應用程序或系統中安全事件的確切本質、方法和范圍。而在云環境中，不僅確認系統和數據的確切物理位置更加困難和復雜，而且隔離和保留的程度也與傳統的服務器模型有很大不同。

理解隱私問題

不同司法管轄權區域的隱私問題可能存在很大差異，這種變化可能與受保護的記錄和信息的類型以及所需的控制措施和采取的通知方式有關。

合同PII以及受監管PII的差異

無論系統及其數據是托管在傳統數據中心模型還是在云托管模型中，應用程序所有方都要對應用程序和相關服務處理或存儲的所有PII 數據的安全性負責。不同司法管轄權和法律法規要求都對PII有多層次的理解，目前，主要存在兩類PII，對這兩類PII的方法和要求有所不同。

PII和數據隱私相關的國家特定法律

雖然許多國家都有保護和監管個人信息交換和數據隱私的法律，但不同的司法管轄權區域在要求或允許方面可能存在很大差異。以下并非所有國家和監管合規要求的詳盡或完整列表;而是對主要和典型的司法管轄權區域及其各自監管合規要求的抽樣說明。

機密性、完整性、可用性和隱私性之間的差異

安全性的三大核心是機密性、完整性和可用性。隨著越來越多的數據和服務轉移到在線服務，特別是隨著移動計算和涉及敏感信息的應用程序的激增，隱私已成為第四個關鍵方面。這四者緊密合作，基于應用程序及其所使用數據的特定細節，某些應用程序與其他應用程序的重要性將發生變化，需要做出調整。隱私概念涉及個人對自身信息和活動的控制，而組織在數據存儲中擁有的信息受機密性的約束。

隱私要求標準

標準由行業團體或監管機構建立，用于設置通用配置、期望、操作要求和定義。標準形成一個強大的跨司法管轄權區域的協作機構，允許用戶和云客戶基于外部和獨立的標準評價服務和云服務提供商。1、ISO/IEC 27018標準2、GAPP

理解審計流程、方法論和云環境所需的調整

無論系統部署在傳統數據服務器模型還是云環境，審計實踐和要求都相同。監管合規要求是以一種對底層托管模型透明的方式制定的，側重于應用程序安全和數據保護的方式。然而在云計算環境中，成功地執行審計的策略和方法各不相同。

內外部審計控制體系

內部審計可用于確保組織策略和授權得到適當執行和遵守，滿足管理層的要求。內部審計也有助于衡量內部策略和程序的效率和有效性，能幫助管理層發現新方法以加強控制措施和策略的實施力度，或用于糾正所產生的額外成本和管理費用的浪費問題。內部審計對于規劃環境中未來的服務擴展或升級也非常有幫助。獨立的外部控制審計是必要的。外部審計將評價IT系統和策略所涉及控制措施的有效性，但不會解決與內部審計相同類型的問題，如運營效率、成本、設計或擴展方案。

審計要求的影響

在云環境中，云服務提供商的地理分布導致這種工作方式幾乎無法完成。因此，在云環境中，對站點的物理訪問幾乎是不可能的。另一個巨大差異是云環境大量使用虛擬服務器和鏡像。隨著時間的推移，虛擬服務器和鏡像可能發生變化，導致重復審計或后期確認都更困難。系統當前狀態看起來可能與最初審計時存在很大的不同。此外，最初測試的虛擬機可能已經不存在了。

虛擬化和云環境的保障挑戰

所面臨的挑戰是如何在無法測試整體環境的情況下執行審計并確保合規，而整體環境也可能非常不穩定。缺少對云環境內部物理環境的訪問權限導致問題更復雜，云客戶和代表云客戶工作的審計師對底層物理環境的訪問權限非常有限，甚至根本沒有訪問權限。

審計報告類型

行業常使用幾種不同的標準化審計報告。盡管這些報告在方法和受眾上有所不同，但有著相似的設計和服務于類似的目的。

審計范圍限制

在實施審計活動前,組織及其審計師必須確定審計的范圍,以及對審計流程(Audit Process)和測試所涵蓋和接受的限制。這些信息在審計流程的初始階段處理并在此階段編制審計范圍說明。

差距分析

差距分析(Gap Analysis)是在通過審計流程收集、測試和驗證所有信息后執行的關鍵步驟。

審計規劃

總體審計方案分為四個步驟，每個步驟都有重要且有序的組成部分，推動整體流程達到標和要求。以下是審計方案的四個步驟：定義目標、定義范圍執行審計、經驗教訓和分析。

內部信息安全管理體系

內部信息安全管理體系(Internal Information Security Management System，ISMS)包括在組織內部建立正式計劃，ISMS策略的重點是減少IT資源和數據在機密性、完整性和可用性方面的威脅和風險。ISMS 的主要目的是最大限度地降低風險，保護組織的聲譽，確保業務持續和運營，以及減少因安全事故造成的潛在責任。對聲譽的保護以及由此帶來的更高信任度對所有系統或應用程序的用戶、客戶和利益相關方都適用。

內部信息安全控制系統

ISO/IEC 27001:2013標準涵蓋一系列領域，這些領域建立作為協助正式風險評估計劃的框架。ISO/IEC 27001:2013的領域幾乎涵蓋了IT運營和程序的所有領域，因此ISO/IEC27001:2013成為全球使用最廣泛的標準之一。

策略

策略(Policy)以正式方式記錄和闡明任何IT系統或組織希望或需要的系統和運營標準。隨著云計算的大規模使用，對當前策略執行修改或制定新策略的需求變得非常急迫。由于云環境底層結構與受控和私有物理環境的運行情況相差甚遠，許多組織在傳統數據中心內運行的策略需要大量修改或添加。由于缺乏對資產和訪問的控制權，策略需要擴充以允許云服務提供商的訪問和多租戶場景所需的補償性控制措施。

利益相關方的識別和參與

對于IT系統或運營來說，正確且恰當地識別利益相關方絕對重要。有了正確的利益相關方名單，就可確保及時與相關和重要的各方適當溝通。為正確識別利益相關方，需要識別涉眾方問題。最明顯的是識別組織實際的支持者，如管理層。云環境中還需要包括云服務提供商，因為云服務提供商負責IT服務托管和實現的多個方面，并且擁有遠超云客戶有限范圍的訪問權、監測權和責任。

高度監管行業的特殊合規要求

任何環境或系統都有關于安全和隱私的司法要求和審計要求，有時還有報告和溝通環境的要求。特定類型的數據或系統無論所使用的物理位置或宿主模型如何，還存在與涉及的特定數據和流程相關的附加要求。在云環境中托管時,所有監管合規要求在傳統數據中心同樣適用，而且由于云是一種新技術，并不是所有監管合規要求都已完全更新或適應云環境。

分布式IT模型的影響應

用程序系統基于各種不同的組件和技術構建，很多時候分布在多個地理區域，依賴于Web服務和API的調用，而不是直接的網絡連接、函數調用和緊密集成。因此，對可消費的服務而不是對擁有和維護的系統的依賴在快速增長，云計算的引入使得這種復雜性更明顯。雖然分布式模型將構建和擴展系統比以往任何時候都更加經濟和方便，但也為安全、審計和合規帶來了重大變化。

理解云對企業風險管理的影響

評估云服務提供商的風險管理態勢

組織在遷移到任何托管環境時，與云服務提供商共同理解和評價風險管理計劃和流程至關重要。由于云客戶將在云服務提供商的云環境中存儲服務和數據，因此托管云服務提供商的風險管理流程和風險接受程度也將直接影響云客戶的安全和風險管理計劃。評估是另一個對云服務提供商而言極有價值的領域，將在很大程度上告知云客戶有關云服務提供商的風險管理計劃和策略類型的事項，以及允許接受或需要減輕的風險等級。

數據所有方/控制方與數據托管方/處理方之間的差異

數據所有方(Data Owner)數據所有方是負責控制數據、確定對數據開展適當控制以及使用的個體。某些情況下可能以數據管理員(Data Steward)角色監督訪問請求和數據的使用，確保組織的策略得到遵守，并且訪問請求得到正確批準。數據托管方(Data Custodian)數據托管方是處理和使用由數據所有方擁有或控制的數據的任何人員，數據托管方在使用數據處理業務時必須遵守策略和接受監督。

風險處理

• 制定風險管理框架
• 評估風險
• 應對風險
• 持續監測風險

不同的風險框架

有三個著名的與云環境相關的風險框架在IT行業中廣泛使用，分別是ENISA、ISO/IEC31000:2018和NIST。

風險管理指標

風險幾乎總是以定級和分值的形式呈現，分值平衡了成功利用的影響和發生的可能性。

風險環境評估

為充分評估云環境中的風險，需要評估多個不同級別。特定的應用程序、系統或服務是第一個組件,涉及與在傳統數據中心內托管類似的分析，并在組合中添加了特定于云的方面。組織還必須根據云服務提供商的過往記錄、穩定性、專注度、財務狀況和未來方向執行風險評價。

了解外包和云合同設計

外包到云環境后，需要面對的合同則包含大量額外的復雜性，許多組織可能缺乏管理云合同的專業知識和經驗。

業務需求

在組織考慮將系統或應用程序遷移到云環境前，必須首先確保全面了解系統當前的構建和配置方式，以及這些系統如何與其他系統關聯和交互。業務需求的理解和分析將構成評價系統或應用程序是否適合云環境的基礎。當前的系統或應用程序可能需要改寫大量代碼或配置變更，才能在云環境中正常工作，同時可能對監管合規計劃和要求產生深遠影響。

供應商管理

要確保考慮到的任何供應商都是穩定且信譽良好的，才可托管關鍵業務系統和敏感數據。

合同管理

云服務與任何服務委托或托管情況一樣，都需要一套健全和結構化的合同管理方法。云環境并未簡化合同管理，有些情況下，云環境可能導致合同管理變得更復雜。

履行供應商管理

從云安全專家的角度看，最好充分記錄和理解使用的每項組件，并分析逐一組件的漏洞和對整個應用程序的暴露程度。云安全專家要對每個組件執行風險評估，并評估為每個連接點設計附加控制措施或實施驗證的可能性，確保數據和流程安全運行，不會執行任何超出預期目的的操作。

參考文獻

艾瑞咨詢 中國云安全行業研究報告 2021
CSA 云安全的新技術、新趨勢、新研究 2022
阿里云 阿里云安全白皮書 2019
freebuf 2019上半年云安全趨勢報告
CSA云安全聯盟標準 云應用安全技術規范
東興證券 2020.9中美云安全產業對比研究，國內云安全公司空間幾何？

總結

以上是生活随笔為你收集整理的CCSP 云安全认证-法律与合规风险的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。