企业必须符合广泛的且不断变化的规则清单,处在高度管制行业的企业更是如此。如果公司的信息安全策略和IT系统没有遵守这些方针政策,那么,企业将面临罚款和其他处罚。 金融服务和医疗保健等行业的规则包括PCI DSS、SOX 、GLBA 、HIPAA和HITECH ,这些规则都提供了有关个人信息处理的具体方针政策。
因为云的出现,合规性进行了新的调整。为了保护企业,企业需要提出正确的问题,而不只是对云计算的合规需求做表面评估。
检查所有规则的更新。合规是一个动态的目标。健康保险流通与责任法( HIPAA )经过多次细化,于1996年8月正式通过。报告称合规需求从公司员工扩大到业务伙伴,如任何第三方承包商。因此,公司必须了解如何保证信息的安全以及员工如何使用 。公司还负责了解其合作伙伴的系统是如何设置的,以及如何处理机密信息。
根据信息的重要性排序。并非所有的信息都同等重要。因此,将信息迁移到云之前,企业首先应进行数据评估,并将信息按重要性排序。 例如,公司的地址没有必要像客户地址那样,必须得到保障,因此,维护客户地址更重要。 在某些情况下,组织可以将高度机密的数据永远存储在本地,而不是在公有云中。 对于移动到云中的数据,企业需要与云提供商合作,从而建立健全的程序。
了解数据存储的具体位置。云所面临的一个挑战是其往往设计的模糊不清。信息可以存储在不同的地方,供应商通常也有多个数据中心。 在某些情况下,主要的数据中心可以容纳一个“指针”,而不是记录本身。 了解数据存储的位置至关重要。必须确保采取的数据保护手段能够回答这些问题:谁能够看到这些数据? 谁来管理数据? 数据是如何管理的? 备份过程是怎样的? 备份数据存储在哪里? 备份数据如何存储?信息与其他组织的信息是否区分开?
了解有关加密服务的详细信息。了解有关所有云服务,包括加密服务的详细信息,但是加密服务不尽相同。当信息从一个地方转移到另一个地方,保护信息是一个很好的出发点,但这往往是不够的。公司还必须确保数据被有效保护,存储在存储主轴上。 服务级别协议中应包含信息必须被加密的规定。
检查披露政策。全国零售商Target的一个安全漏洞泄露了100多万用户的私人信息。 Target的问题不仅仅在于Target的数据保护系统,还在于:一段时期以来,该公司向公众隐瞒该事件。 了解信息披露政策。有一些规则云供应商和公司都必须遵守。 短暂的延迟期是不可避免的,因为公司试图理清一些问题,如果拖延的话,还会产生合规性问题。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
分解合规性责任:云计算vs.内部部署
如果公司的应用程序位于内部服务器,那么,公司只负责满足法规遵从需求。公司的业务将应用程序和数据移动到云,但是,这并没有改变所有的合规性责任。
-
了解并解决云计算合规性问题
价格低廉、计算灵活,可根据需求创建、拆开、重配置、扩张和收缩,这些都是云计算吸引人的特点,但是它是否包括了必要的监管要求?
-
如何确保云中的数据安全?
如果当您决定使用公共云计算时,可能还需要在云中存储数据。云的多用户固有属性以及云数据物理位置的问题是企业必须去面对的安全风险。那么如何去避免这些风险?
-
云计算一道坎:如何保证云数据安全
截至目前,云安全联盟已经不止一次地发布报告,建议和督促企业采取措施,以更好地保护云服务。云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估……