广泛且迅速兴起的云计算技术及其商业化应用正在快速改变并重塑众多企业关键内部职能部门的运作方式。这些职能包括采购、信息技术、风险管理、企业治理结构、合规遵循、审计以及其他等等。那些反对或消极应付云应用的部门正在面临失去部门自主权和被企业管理核心边缘化的风险。
公共云应用的核心是信任。首先,企业必须确信在启用云应用时,对有关应用成本、风险、其本身的管理以及潜在的不利之处已经充分了解。其次,企业必须确信云服务的提供者做出了恰当的承诺,并确保服务承诺已经包括在结构周密和双方责任义务相互平衡的商业合同中。如果在选择和实施企业云应用时仍有不足之处存在,作为企业的首席财务官必须掌握实际状况并采取正确的行动。如果在选择和实施企业云应用项目时,在有关风险、审计和治理结构方面存在某些不足,首席财务官必须充分掌握实际状况并采取纠正措施。
正如飞机的小裂缝会在压力下快速蔓延并破裂,而富有经验的飞行机械师知道如何发现这些小的裂缝和隐患。那么,作为首席财务官,你能发现云应用中存在的类似隐患吗?如今IT风险与新兴技术已经成为审计委员会的第二大关注点,第一则是企业治理过程、控制和风险管理,而信息保密与网络安全、合规性排名紧随其后。对云应用而言,许多企业的云应用项目就是飞行中满载乘客的航班,然而起飞前的检查却漫不经心,如何确保“企业航班安全地飞行于云端“?以下是有关云应用的七点关键审计清单:
1、确保企业高管能分清什么是云技术,什么不是
在提供IT服务的商业报价文件中,总有许多文字读起来云山雾罩,市面上IT服务提供商常用的“按进度付款”的服务方式就是这样的一个“云团”。与此相对,简单上线了网络销售或使用了GMAIL肯定不意味着组织已经实现了云应用。确保决策者掌握云应用的本质,并恰当知悉了项目的可行性,是在已知成本、风险和合规性均有限制的情况下,提高云应用项目成功机率和发现其价值的最佳方式。对于决策者而言,这才是头等大事,远远胜过超过出席什么销售商的商务宴会。
2、了解云审计的最新发展动态
了解有关云的审计、管理与合规性信息的最新发展,建立一种健康的倾听策略。独立的第三方组织,如云安全联盟(Cloud Security Alliance)、全美标准与技术协会(NIST)都是可供利用学习的最佳外部资源。
3、规划云应用的合规性框架
辨明公司启用云生态环境前后的合规、合法和遵从性的不同。充分识别了这种差距和不同之后,就可以着手改善现状。哪些数据可以触及,哪些不可以在法律法规中都有明文规定,尤其是涉及隐私的部分,更要倍加小心。比如公司的海外分支机构使用部署于境内的云服务器,或者使用境内公司所有但部署于境外的服务器时,其数据的使用需要遵守不同国家的法定规定。而受《欧盟数据保护法》的影响,跨国云应用的进程也许会多次为法律所牵绊,不断修正前行。启用云技术的组织要确保自身或自己的受托方了解云计算运营相关的标准,以保证云应用项目的顺利实施。
4、完善的云项目管理
选择合适的云服务提供商,准确并公开授权其开展相关业务,同时确保双方有关风险、成本和项目管理的责任得到合理明确地分配。没有恰当的责权利区分的云应用方案对于供应商而言不啻于天上掉馅饼,他们可能会仅仅满足企业当前关注的业务需求,而有损于企业的长远利益,从而导致未来的审计变成一场无休无止的扯皮游戏。
5、主动发现并披露企业在云应用过程中的重大内部分岐
审计师将会关注员工和管理层有关云应用实施的意见分岐。这些不同意见恰是其开展深入调查的重要线索,有助于发现云应用实施中的“弱点”所在。为避免内部不同意见被无理忽视的情况发生,确保充分的尽职调查履行助于实现这一目标。
6、定期检查与更新信息安全政策
信息安全政策应当与组织运营的实际情况紧密相关。如果政策检查与更新针对的是特定风险,并且最近的检查与更新已经有一段时间了,那就应尽快实施新一轮的安全政策检查与更新。
7、知道哪些云技术可以审计,哪些不可以
全球主要的云服务提供商都不允许其客户委托第三方对其提供的云服务进行审计。至少在目前的一段时间内,客户只能信赖服务提供商的审计程序和合规性表述。如果企业与当地规模较小的云服务提供商合作,也许有可能允许他们自行委托第三方进行审计。需要牢记的是信任是云应用的一切,但信任却是有待证现实验证的。组织必须让自身、管理者、客户、股东及其他利益相关者清楚地知道,组织是如何选择、实施、安排和管理云应用,是如何降低风险并消除未来的不确定因素的。
当前的商业环境充满了不确定因素。针对云应用减少不确定的方法之一正是有效的审计程序,否则只能完全相信云应用的服务供应商。总之,站在买方的角度来看,至少应该知道本组织的这笔云应用投资是否物有所值。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@youkuaiyun.com。本站原创内容未经允许不得转载,或转载时需注明出处::优快云资讯门户 » 云应用的IT风险审计清单