企業(yè)風(fēng)險管理建議

在云計算中，有效地治理和企業(yè)風(fēng)險管理是從良好開發(fā)的信息安全治理過程得到的，是組織的全面企業(yè)治理責(zé)任應(yīng)有的注意(due care)。良好開發(fā)的信息安全治理過程會使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測量、可持續(xù)、可防御、可持續(xù)改進且具有成本效益。

云計算中的治理和企業(yè)風(fēng)險管理的基本問題關(guān)系到識別和實施適當?shù)慕M織架構(gòu)、流程及控制來維持有效的信息安全治理、風(fēng)險管理及合規(guī)性。組織還應(yīng)確保在任何云部署模型中，都有適當?shù)男畔�安全貫穿于信息供�?yīng)鏈，包括云計算服務(wù)的供應(yīng)商和用戶，及其支持的第三方供應(yīng)商。

治理建議

· 一部分從云計算服務(wù)節(jié)省的費用必須投資到提升提供商的安全能力、應(yīng)用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續(xù)滿足需求。

• 不管是什么服務(wù)或部署模型，云計算服務(wù)的用戶和提供商都應(yīng)開發(fā)健壯的信息安全治理。信息安全治理應(yīng)由用戶和提供商協(xié)作來達到支持業(yè)務(wù)使命和信息安全程序的一致目標。服務(wù)模型可以調(diào)整協(xié)同信息安全治理和風(fēng)險管理中定義的角色和職責(zé)(基于各自對用戶和提供商的控制范圍)，部署模型可能定義責(zé)任和預(yù)期(基于風(fēng)險評估)。

• 用戶組織應(yīng)包括審查具體的信息安全治理架構(gòu)和流程，及具體的信息安全控制，作為未來提供商組織的部分應(yīng)有的責(zé)任(due diligence)。應(yīng)該評估提供商的安全治理流程和能力的充足性、成熟度及與用戶信息安全管理流程的連續(xù)性。提供商的信息安全控制應(yīng)基于風(fēng)險確定并清晰地支持這些管理流程。

• 用戶和提供商間的協(xié)同治理架構(gòu)和流程是很必要的，既是部分服務(wù)交付(services delivery)的設(shè)計和開發(fā)，也是風(fēng)險評估和風(fēng)險管理協(xié)議，然后作為服務(wù)協(xié)議的一部分。

• 在建立服務(wù)水平協(xié)議(SLA)及合同契約義務(wù)時應(yīng)包括安全部門，來確保安全需求在合同層面上是可強制執(zhí)行的。

• 在遷移進云端前，測量績效和信息安全管理有效性的指標體系和標準都應(yīng)建立起來。至少，組織應(yīng)理解并文檔化他們當前的指標，及運營遷移進云時，這些指標會如何變動，因為云提供商可能使用不同的(有可能不兼容)指標。

• 只要有可能，所有服務(wù)水平協(xié)議(SLA)和合同中都應(yīng)該包含安全指標和標準(尤其是那些法律和合規(guī)性需求相關(guān)的)。這些標準和指標應(yīng)是文檔記錄的并是可證明的(可審計)。

企業(yè)風(fēng)險管理建議

和任何新業(yè)務(wù)流程一樣，遵循風(fēng)險管理的最佳實踐很重要。實踐應(yīng)該與云服務(wù)的具體用途相匹配，這些用途可能從無意的和臨時的數(shù)據(jù)處理到處理高敏感性數(shù)據(jù)的關(guān)鍵業(yè)務(wù)流程。對企業(yè)風(fēng)險管理和信息風(fēng)險管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進已有的風(fēng)險管理和流程。

• 由于許多云計算部署中缺少對基礎(chǔ)設(shè)施的物理控制，因此與傳統(tǒng)的企業(yè)擁有基礎(chǔ)設(shè)施相比，服務(wù)水平協(xié)議(SLA)、合同需求及提供商文檔化在風(fēng)險管理中會扮演更重要的角色。

• 由于云計算中的按需提供和多租戶特點，傳統(tǒng)形式的審計和評估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評估和滲透測試，而其他的則限制提供審計日志和實時監(jiān)控數(shù)據(jù)。如果這些在內(nèi)部策略中都是要求的，那么就需要尋找替代的評估方法、某些具體的合同免責(zé)條款，或?qū)ふ遗c風(fēng)險管理需求更一致的替代提供商。

• 至于對組織的關(guān)鍵功能使用云服務(wù)，風(fēng)險管理方法應(yīng)該包括識別和評估資產(chǎn)、識別和分析威脅和弱點及其對資產(chǎn)(風(fēng)險和事件場景)的潛在影響、分析事件/場景的可能性、管理層批準的風(fēng)險接受水平和標準、多種風(fēng)險處置(控制、避免、轉(zhuǎn)嫁、接受)計劃的開發(fā)。風(fēng)險處置計劃的結(jié)果應(yīng)作為服務(wù)合約的一部分。

• 提供商和用戶的風(fēng)險評估方法應(yīng)一致，影響分析標準和可能性定義也一致。用戶和提供商應(yīng)共同開發(fā)云服務(wù)的風(fēng)險場景，這應(yīng)該固化在提供商為用戶服務(wù)的設(shè)計中和用戶的云服務(wù)風(fēng)險評估中。

• 資產(chǎn)清單應(yīng)盤點支持云服務(wù)且在提供商控制下的資產(chǎn)。用戶和提供商的資產(chǎn)分類和評估方案(evaluati•n scheme)應(yīng)一致。.

• 提供商及其服務(wù)都應(yīng)該是風(fēng)險評估的主題。云服務(wù)的使用、使用的特定服務(wù)和部署模型，都應(yīng)該與組織的風(fēng)險管理目標及業(yè)務(wù)目標一致。

• 如果提供商不能演示證明其服務(wù)的全面有效的風(fēng)險管理流程，用戶應(yīng)詳細評估該供應(yīng)商，以及是否可以使用用戶自身的能力來補償潛在的風(fēng)險管理差距。

• 云服務(wù)的用戶應(yīng)詢問管理層對云服務(wù)的風(fēng)險容忍和可接受的殘余風(fēng)險是否已經(jīng)有所定義。

信息風(fēng)險管理建議

信息風(fēng)險管理(IRM)是將暴露(exp•sure)與風(fēng)險聯(lián)系的法則，也是通過數(shù)據(jù)所有者的風(fēng)險容忍對其進行管理的能力。如此，對于設(shè)計用以保護信息資產(chǎn)的機密性、完整性和可用性(CIA)的信息技術(shù)資源，信息風(fēng)險管理是最優(yōu)先的決策支持方法。

• 采用風(fēng)險管理框架模型來評估IRM，用成熟模型來評估IRM模型的有效性。

• 建立適當?shù)暮贤�需求和技術(shù)控制，來收集信息風(fēng)險決策所需要的數(shù)據(jù)(例如，信息使用、訪問控制、安全控制、位置等)。

• 在開發(fā)云計算項目需求前，采用用以確定風(fēng)險暴露的流程。雖然了解暴露和管理能力所需的信息類別比較一般化，但實際收集的指標對于云計算SPI模型是特定的，是可以按照服務(wù)來采集的。

• 在使用SaaS時，絕大多數(shù)信息都由服務(wù)提供商提供。組織應(yīng)在SaaS服務(wù)合同責(zé)任中制定分析信息的收集流程。

• 當采用PaaS時，建立類似上述SaaS服務(wù)的信息采集能力。在可能的地方，包括進部署和從控制中采集信息的能力，建立對這些控制的有效性進行測試的合同條款。

【企業(yè)風(fēng)險管理建議】相關(guān)文章：

初級銀行從業(yè)資格風(fēng)險管理考點：風(fēng)險管理基礎(chǔ)01-30

高級會計師考試模擬試題：企業(yè)風(fēng)險管理03-15

初級銀行風(fēng)險管理知識點：信用風(fēng)險識別03-09

高級會計實務(wù)基礎(chǔ)知識：企業(yè)風(fēng)險管理目標設(shè)定11-03

給中小企業(yè)人力資源管理的建議（精選6篇）09-16

銀行從業(yè)資格考試風(fēng)險管理練習(xí)04-13

銀行從業(yè)資格考試《風(fēng)險管理》考點09-28

金融風(fēng)險管理的六個階段10-26

最新銀行從業(yè)《風(fēng)險管理》練習(xí)試題附答案11-09

2023銀行從業(yè)資格筆記：操作風(fēng)險管理02-02