现在许多组织已经走了这么远,将脚趾浸泡到云计算的浅水区,并有更多的人想投石问路。其他组织纷纷跳入双脚云。但是,你是否在涉水正在或完全浸没,妥善审批您的云服务提供商是必不可少的。
最近的一项研究IT行业协会CompTIA的发现,尽管许多企业都在关注自己在云中数据的安全性,公司的少数密封处理之前执行他们的云服务供应商进行了全面审查。
“尽管一些人的疑虑,只有29的公司在研究%的人说他们搞一个重或云服务提供商的安全实践全面审查,”蒂姆·赫伯特,用CompTIA的研究副总裁说。
这是一个错误的查尔斯·韦弗,在MSPAlliance,充当认证和标准机构的管理服务供应商(MSP)15000名成员组成的强有力的组织的联合创始人兼总裁。
“我们现在主要关注的是,我们看到了很多新的服务提供商实体谁正在进入场景朝着他们如何构建和提供服务,几乎松懈的态度,”韦弗说。“他们似乎主要是在云的一面。”
韦弗解释说,这些服务商一般分为两大阵营:在光谱的SMB年底组织是市场自身的终端到终端的解决方案的供应商,但实际上是经销商,还是服务提供商都不知情的中型项目制定的标准没过多久,术语“云计算”被创造出来。
韦弗说考虑云服务提供商组织应寻找三件事情:
相信。“他们必须信任他们,”他说。“这涉及通过亲和力。你必须像公司和原则,你将要共事的人。这是一个非常亲密的关系。我们有了一个可以相互尊重和信任一起工作。”
技术专长和理解。云服务提供商必须熟练掌握它的两个技术和了解您的业务。“他们必须有一个你希望做,并且匹配了他们的技术专长是什么的理解,”韦弗说。“如果你是一家银行的CIO,你需要外包你的IT的一些战略要素,你的MSP需要了解银行和什么,那就是你要外包。”
第三方合规性审核。云服务提供商必须能够证明他们能活到他们正在做的承诺。“这是你经历更多的审查和持续的监管,以切断头发比你管理一个公司的敏感数据和最终用户的世界,”韦弗说。虽然他不相信会有更多的政府监管将在云服务领域的帮助,他不相信组织应与审计核实其供应商的能力。
所以,你应该怎样在审计期望?该MSPAlliance提供了云计算和托管服务提供商的统一认证标准(UCS)。它查找服务提供商发出的认证之前符合11个控制目标。企业可以使用UCS控制目标为指导,他们应该了解哪些供应商。控制目标如下:
供应商的组织,管理,规划和风险管理。该供应商必须证明它有一个正式的管理结构,组织结构图,风险评估政策,分析第三方服务提供商和供应商的正式流程,并提供了职责区分要适当的组织结构。
成文的政策和程序。该供应商必须证明进行审查,并每年更新成文的政策和程序。员工必须按规定来证明和迹象表明他们理解和遵守的政策和程序,以及新员工必须经过正式的培训方法,教育和测试的标准。
服务变更管理。供应商必须有正式下更改控制服务变更管理文档。MSPAlliance建议的文件包括,如果适用,容量规划和修改提供者和客户端配置。该认证还要求客户变更管理策略是基于由提供者交付给客户的服务水平记录。
事件管理。该供应商必须能够访问网络运营中心(NOC)与能够提供必要的监控和管理,以识别并解决由供应商和客户之间的服务水平协议(SLA)所覆盖的问题或事件的经过培训的人员足够的工作人员。此外,供应商必须能够证明包括其监控/管理系统集成的桌面和票务平台问题管理系统的存在。此外,供应商必须能够表明它会定期进行其事故报告内部审查。
逻辑安全。用户访问供应商和客户的信息系统和数据必须根据既定的政策和程序被授予,并重新分配或离职员工必须将其撤销的访问基于建立文件化的政策和程序。该供应商必须证明用户认证信息系统和数据,包括密码策略和上层管理人员审查文件的控制。的控制器具有内部和远程访问存在。此外,供应商必须具有管理员ID的文件政策,而供应商和第三方访问策略记录,并接受上级管理部门审查。这适用于对操作和数据中心以及信息系统和数据的物理访问。2020欧洲杯预赛此外,供应商必须有供应商或客户信息系统的第三方评估。
更换管理层。该认证要求供应商证明它记录了和正式的变更管理的政策和程序进行更改的信息系统,包括请求,日志记录,审批,测试和验收前实现更改的正式程序。该供应商还必须证明,紧急变更是在一个正式的审查过程。
数据的完整性。该供应商必须证明它有足够的信息安全政策和有效运行的程序。这些政策和程序必须进行审查,更新,批准和每年传达给供应商的人员。这包括数据备份和保留策略。
物理和环境安全。供应商必须有记载管理其IT资产的物理访问,包括适用的设施访客/来宾日志政策。它还具有在每个设施,以显示安全控制,包括钥匙卡,CCTV,现场保安和其他有效的安全控制。该供应商必须证明管理的接入提供者和离职员工的客户端设备记录的控制和那些变换位置。供应商必须显示,以维持其设施协同定位的硬件物理访问成文的政策,它必须在每个工厂每年进行一次物理安全性评估,包括跟踪和任何分辨率和评估过程中发现的所有问题。此外,它的NOC和数据中心必须从破坏性事件使用由维修2020欧洲杯预赛合同服务和测试环境保障的保护。奥委会必须有两个连接和电源,包括记录灾难恢复/业务连续性计划的有效冗余。
服务等级协定。供应商必须能够证明它使用签署的SLA与客户和足够的控制措施进行跟踪和提供给客户的服务监控。该控件还必须跟踪修改供应商的系统中的客户端安装。
客户报表,计费和满意度。供应商必须能够证明它使业绩报告提供给按照客户签订的SLA,含发票。此外,供应商必须有经过验证的参考。
财务状况。供应商必须能够证明它是稳定和健康的财务状况,以证明盈利至少6前几个月,或者必须表现出足够的资金证明在没有盈利的稳定性。它还必须显示其收入在多个客户端足够的分布。
雷神Olavsrud是CIO.com的资深作家。跟着他@ThorOlavsrud。
这个故事,“如何选择云服务提供商”最初发表CIO 。