數(shù)十年專注企業(yè)數(shù)字化轉(zhuǎn)型、智能化升級、企業(yè)上云解決方案服務商
工單提交 實名認證 騰佑科技咨詢熱線咨詢熱線: 400-996-8756
百度云服務中心騰佑科技公司
云服務器活動 服務器租用 服務器托管 機柜租賃 帶寬租賃
  • 最新資訊
  • 熱門資訊
  • 最熱資訊
智能建站

云應用的IT風險審計清單

發(fā)布時間:2022-06-28 作者:admin

簡述:廣泛且迅速興起的云計算技術(shù)及其商業(yè)化應用正在快速改變并重塑眾多企業(yè)關鍵內(nèi)部職能部門的運作方式。這些職能包括采購、信息技術(shù)、風險管理、企業(yè)治理結(jié)構(gòu)、合規(guī)遵循、審計以及其他等等。那些反對或消極應付云應用的部門正在面臨失去部門自主權(quán)和被企業(yè)管理核心邊緣化的風險。公共云應用的核心是信任。首先,企業(yè)必須確信在

廣泛且迅速興起的云計算技術(shù)及其商業(yè)化應用正在快速改變并重塑眾多企業(yè)關鍵內(nèi)部職能部門的運作方式。這些職能包括采購、信息技術(shù)、風險管理、企業(yè)治理結(jié)構(gòu)、合規(guī)遵循、審計以及其他等等。那些反對或消極應付云應用的部門正在面臨失去部門自主權(quán)和被企業(yè)管理核心邊緣化的風險。

公共云應用的核心是信任。首先,企業(yè)必須確信在啟用云應用時,對有關應用成本、風險、其本身的管理以及潛在的不利之處已經(jīng)充分了解。其次,企業(yè)必須確信云服務的提供者做出了恰當?shù)某兄Z,并確保服務承諾已經(jīng)包括在結(jié)構(gòu)周密和雙方責任義務相互平衡的商業(yè)合同中。如果在選擇和實施企業(yè)云應用時仍有不足之處存在,作為企業(yè)的首席財務官必須掌握實際狀況并采取正確的行動。如果在選擇和實施企業(yè)云應用項目時,在有關風險、審計和治理結(jié)構(gòu)方面存在某些不足,首席財務官必須充分掌握實際狀況并采取糾正措施。

正如飛機的小裂縫會在壓力下快速蔓延并破裂,而富有經(jīng)驗的飛行機械師知道如何發(fā)現(xiàn)這些小的裂縫和隱患。那么,作為首席財務官,你能發(fā)現(xiàn)云應用中存在的類似隱患嗎?如今IT風險與新興技術(shù)已經(jīng)成為審計委員會的第二大關注點,第一則是企業(yè)治理過程、控制和風險管理,而信息保密與網(wǎng)絡安全、合規(guī)性排名緊隨其后。對云應用而言,許多企業(yè)的云應用項目就是飛行中滿載乘客的航班,然而起飛前的檢查卻漫不經(jīng)心,如何確保“企業(yè)航班安全地飛行于云端“?以下是有關云應用的七點關鍵審計清單:

1、確保企業(yè)高管能分清什么是云技術(shù),什么不是

在提供IT服務的商業(yè)報價文件中,總有許多文字讀起來云山霧罩,市面上IT服務提供商常用的“按進度付款”的服務方式就是這樣的一個“云團”。與此相對,簡單上線了網(wǎng)絡銷售或使用了GMAIL肯定不意味著組織已經(jīng)實現(xiàn)了云應用。確保決策者掌握云應用的本質(zhì),并恰當知悉了項目的可行性,是在已知成本、風險和合規(guī)性均有限制的情況下,提高云應用項目成功機率和發(fā)現(xiàn)其價值的最佳方式。對于決策者而言,這才是頭等大事,遠遠勝過超過出席什么銷售商的商務宴會。

2、了解云審計的最新發(fā)展動態(tài)

了解有關云的審計、管理與合規(guī)性信息的最新發(fā)展,建立一種健康的傾聽策略。獨立的第三方組織,如云安全聯(lián)盟(Cloud Security Alliance)、全美標準與技術(shù)協(xié)會(NIST)都是可供利用學習的最佳外部資源。

3、規(guī)劃云應用的合規(guī)性框架

辨明公司啟用云生態(tài)環(huán)境前后的合規(guī)、合法和遵從性的不同。充分識別了這種差距和不同之后,就可以著手改善現(xiàn)狀。哪些數(shù)據(jù)可以觸及,哪些不可以在法律法規(guī)中都有明文規(guī)定,尤其是涉及隱私的部分,更要倍加小心。比如公司的海外分支機構(gòu)使用部署于境內(nèi)的云服務器,或者使用境內(nèi)公司所有但部署于境外的服務器時,其數(shù)據(jù)的使用需要遵守不同國家的法定規(guī)定。而受《歐盟數(shù)據(jù)保護法》的影響,跨國云應用的進程也許會多次為法律所牽絆,不斷修正前行。啟用云技術(shù)的組織要確保自身或自己的受托方了解云計算運營相關的標準,以保證云應用項目的順利實施。

4、完善的云項目管理

選擇合適的云服務提供商,準確并公開授權(quán)其開展相關業(yè)務,同時確保雙方有關風險、成本和項目管理的責任得到合理明確地分配。沒有恰當?shù)呢煓?quán)利區(qū)分的云應用方案對于供應商而言不啻于天上掉餡餅,他們可能會僅僅滿足企業(yè)當前關注的業(yè)務需求,而有損于企業(yè)的長遠利益,從而導致未來的審計變成一場無休無止的扯皮游戲。

5、主動發(fā)現(xiàn)并披露企業(yè)在云應用過程中的重大內(nèi)部分岐

審計師將會關注員工和管理層有關云應用實施的意見分岐。這些不同意見恰是其開展深入調(diào)查的重要線索,有助于發(fā)現(xiàn)云應用實施中的“弱點”所在。為避免內(nèi)部不同意見被無理忽視的情況發(fā)生,確保充分的盡職調(diào)查履行助于實現(xiàn)這一目標。

6、定期檢查與更新信息安全政策

信息安全政策應當與組織運營的實際情況緊密相關。如果政策檢查與更新針對的是特定風險,并且最近的檢查與更新已經(jīng)有一段時間了,那就應盡快實施新一輪的安全政策檢查與更新。

7、知道哪些云技術(shù)可以審計,哪些不可以

全球主要的云服務提供商都不允許其客戶委托第三方對其提供的云服務進行審計。至少在目前的一段時間內(nèi),客戶只能信賴服務提供商的審計程序和合規(guī)性表述。如果企業(yè)與當?shù)匾?guī)模較小的云服務提供商合作,也許有可能允許他們自行委托第三方進行審計。需要牢記的是信任是云應用的一切,但信任卻是有待證現(xiàn)實驗證的。組織必須讓自身、管理者、客戶、股東及其他利益相關者清楚地知道,組織是如何選擇、實施、安排和管理云應用,是如何降低風險并消除未來的不確定因素的。

當前的商業(yè)環(huán)境充滿了不確定因素。針對云應用減少不確定的方法之一正是有效的審計程序,否則只能完全相信云應用的服務供應商??傊?,站在買方的角度來看,至少應該知道本組織的這筆云應用投資是否物有所值。

點擊展開全文

騰佑科技(m.mubashirfilms.com)成立于2009年,總部位于河南鄭州,是一家集互聯(lián)網(wǎng)基礎設施及軟硬件于一體化的高新技術(shù)企業(yè),具有IDC/ISP/ICP/云牌照、雙軟等資質(zhì),并擁有多個國家版權(quán)局認證。公司自成立以來,一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務及行業(yè)客戶技術(shù)一體化智能解決方案;2018年成為百度智能云AI河南服務中心。

售前咨詢熱線:400-996-8756

備案提交:0371-89913068

售后客服:0371-89913000

熱門活動

百度云服務中心
  • 熱門資訊
  • 隨便看看