使用風(fēng)險(xiǎn)管理來(lái)預(yù)防安全事件

直接盲目地將數(shù)據(jù)與 IT 服務(wù)傳遞到云或從云取出或使用，就好像在厚重的云層中單單只用視覺來(lái)駕駛飛機(jī)。當(dāng)有嚴(yán)重風(fēng)險(xiǎn)時(shí)，駕駛會(huì)失去方向，找不到路。

上述情況，并不表示多云天氣下駕駛飛機(jī)是不可能的任務(wù)或特別危險(xiǎn)。

相反的，根據(jù)調(diào)查，超過 90% 的飛行者會(huì)運(yùn)用各類儀器飛行，即使是在惡劣的天氣下飛行，也可以利用各類飛行儀器安全駕駛。

云服務(wù)的使用好比上述在厚重的云層中駕駛飛機(jī)一樣。 云服務(wù)的風(fēng)險(xiǎn)來(lái)自于用戶與提供商之間的策略性與合同性的風(fēng)險(xiǎn)。

這些風(fēng)險(xiǎn)會(huì)在本書法律與稅務(wù)章節(jié)再做論述。另外，不甚可靠的 IT 服務(wù)也會(huì)衍生其他風(fēng)險(xiǎn)。

IT 操件鳳險(xiǎn)

IT 操作風(fēng)險(xiǎn)是何意? IT 操作風(fēng)險(xiǎn)指由于 IT 系統(tǒng)、IT 基礎(chǔ)架構(gòu)或相關(guān)設(shè)施故障而造成的企業(yè)風(fēng)險(xiǎn)，包括無(wú)法獲得服務(wù)、喪失保密性及完整性。

對(duì)企業(yè)來(lái)說，關(guān)鍵與非關(guān)鍵的 IT 服務(wù)都在支撐著企業(yè)運(yùn)營(yíng)。 如果企業(yè)的業(yè)務(wù)流程，如銷售、人力資源、財(cái)務(wù)與審計(jì)等管理，不能受到可信賴的IT 服務(wù)支持，這些企業(yè)的經(jīng)營(yíng)管理將會(huì)受到負(fù)面影響(參見圖 3.2 )。

風(fēng)險(xiǎn)成因

云環(huán)境中不能令人完全信賴的 IT 服務(wù)，會(huì)對(duì)企業(yè)的業(yè)務(wù)流程造成可能的傷害。所以必須了解云風(fēng)險(xiǎn)對(duì)企業(yè)的影響。無(wú)論在傳輸過程，還是提供服務(wù)給企業(yè)的作業(yè)流程中，所發(fā)生的故障，都會(huì)在一定程度上增加風(fēng)險(xiǎn)。

安全事件偵查

安全事件偵查對(duì)云用戶來(lái)說并不容易。通常在具有組織內(nèi)部部署數(shù)據(jù)處理的 E 環(huán)境中，可利用內(nèi)部安全等工作事故管理程序進(jìn)行監(jiān)控、記錄文件分析、入侵檢測(cè)，及資料外泄防護(hù) (Data Loss Prevention ，DLP ) 。 云外包時(shí)，不只是云服務(wù)的部分，還包括相當(dāng)大部分的安全事件的管理，因此必須將安全事件管理納入與云提供商所簽的合同中。