---

一.云计算安全治理与风险管理

1.1 治理

管理云计算时要记住 的首要问题是，一个组织永远不能外包治理的责任，即使是使用外部供应商的情况下。 无论采用云计算或不采用云计算服务，这都是正确的
云计算影响治理关系：
在公有云及托管私有云的情况下，要引入对第三方过程管理
在私有云的情况下可能改变内部的治理结构

1.2 云治理工具

与任何其他领域一样，也有用于治理的特定管理工具。下列几项侧重于外部云服务提供者的管理工具，但这些工具通常也可以运用在在内部私有化部署的环境下

1.2.1 合同

• 管理的主要工具是云提供商和云客户之间的合同(对公有云和私有云都一样)

• 合同是把一切都变成法律条款，从而保障任何服务水平或承诺不会违约的唯一方式。

• 合同是将治理扩展到业务合作伙伴和服务提供者的主要工具。

1.2.2 供应商（云提供商）评估

• 这些评估是云客户利用可用的信息和允许的流程/技术， 来对潜在的云提供商进行考核的方法。

1.2.3 合规报告

• 合规报告包括供应商内部(即自身)和外部合规评估的所有文件

• “云安全联盟 STAR 注册”可以用来看做是一种保证程序，它提供了一系列文件 注册表信息，供云提供商基于 CSA
  的云控制矩阵(CCM)和(CAIQ)开展通用评估 的报告。一些云服务提供商还披露额外的认证信息和评估文件(包括自我评估)。

---

二. 企业风险管理

2.1 企业风险管理

• 企业风险管理(ERM)是组织对所有类型风险的全面管理。与治理一样，合同定义了云服务提供商和云客户之间的风险管理的角色和职责。

• 与治理一样，你永远不能外包你的整体责任，你必须承担对外部供应商的风险管理的职责

• 云环境下，风险管理是基于责任共享模型的，对某些风险来说，云提供商承担一定的责任，而云客户要承担比这个范围更 大的风险责任。云客户对风险的所有权负责，他们只是向云服务提供商的传递了一些风险管理的要求。

• 迁移到云端不会改变你的风险承受能力，它只 是改变了管理风险的方式。

2.2 服务模式和部署方式的影响

不仅需要考虑选择不同的云服务提供商，而且在云服务的交付模式上，也必须注 意不同的服务模式和部署模式是如何影响风险的管理、治理和能力的。
2.2.1 服务模式

• 软件及服务Saas
  合同谈判的重要性都是SaaS服务最明显的例子

• 平台即服务Pass
  客户必须在确定云服务商的合同约定方面，有效地提出了控制或支持所需的水平能力，以满足治理或风险管理的要求，同时PAAS提供商需收集一些必要的数据来证明符合SLA要求的达成情况

• IAAS基础设施服务

  基础设施即服务的云模式最接近传统的数据中心服务(甚至就是一个传统的外包 管理数据中心服务

2.2.2 部署方式

• 公有云环境

  运维治理能力减少，流量，日志等运行商不会公布，在用户看来，相对应的资金投入会进行减少。

  合同谈判能力减少（标准化的产品只能按照云提供商的定义而定义，没有可谈判的空间，以同样的合同模板应对多租户的需求是公有云的自然属性云供应商不能调整为每一个 云客户运行使用一套流程，定制一组资源的合同和操作。适应不同的客户需求，是会增加成本的;云供应商需要权衡，而且这往往是使用公有云和私有云之间的分界线。

  举一个例子：类似航运服务。当你使用一个普通的运营商/供应商，你无法定义他 们的业务模式。而你需要把你的敏感文件包委托给他们交付，希望他们履行安全义务， 并满足预期的服务水平协议要求共享责任模型

• 私有云环境
  组织内部的私有云的治理模式一般是通过内部服务水平协议(企业或其他组织单 位)并提供访问云服务和计费的模式。
  公共云并不是影响风险治理的唯一模式，私有云也会产生影响。如果一个组织允许第三方拥有和/或管理私有云(这是很常见的)，这种情况下的风险治理情况与任何 其他的外包供应商都是类似的。通过合同中规定双方的义务和责任是非常重要的。

• 社区/混合云环境

  在考虑混合云环境时，治理策略必须考虑由云提供商的合同和该组织的内部治理 策略共同组成的最小的公共控制措施集。云消费者同时采用两个云环境或数据中心的 服务。在这两种情况下，整体治理是这两种模式的交集

  由于社区云是多个组织共享的不对外开放的平台，它的治理延伸到各个社区成员 之间的关系，而不仅仅是云供应商和云客户。混合了公有云和托管私有云的治理要求，可以利用合同和其他治理工具，参考一定规模的公有云提供商的模式，但是基于社区 的方式进行调整，如托管私有云模式。这也包括社区成员关系，财务关系，以及如何 响应成员离开社区时的控制方式。

  2.2.3 云风险管理的权衡

  少：
  需要管理提供接受的风险
  管理控制资产
  多：
  依赖SLA和合同
  管理好供应商的关系并保持最新
  用评估代替测试

2.3 云风险管理的工具

风险管理的核心方法依然是管理、转移、接受或规避风险，但一切都应从正确的评估开始。

2.3.1 对供应商的评估为云风险管理计划奠定了基础:

• 请求或获取的文件。

• 审查其安全程序和文件。

• 审查供应商和相关的任何法律、法规、合同和管辖要求。

• 在你的信息资产范围内评估合同中的服务要求。

• 评估云提供商的整体情况，如财政稳定，信誉，和外包商管理等。

• 不要假定来自某一特定提供商的所有服务都符合相同的审核/评估标准，它们是会 变化的。

• 如果可能的话，应定期安排评估或采取自动评估的方式。

2.3.2 相关建议

• 根据选定的云部署和服务模型确定安全和风险管理的责任共担模型

• 参考相关行 业最佳实践、国际标准和法规，开发一个云治理框架/模型，例如 CSA CCM、COBIT 5、NIST RMF、ISO /
  IEC 27017、HIPAA、PCI DSS、欧盟 GDPR 等。

• 了解合同是如何影响您的治理框架/模型的

• 在签订协议之前获得和审查合同

• 不要假设您可以有效地与云提供商协商合同，但这也不一定阻止您使用该提供商。

• 如果合同不能有效协商，并且你认为具有无法接受的风险，那么考虑采用其他机制来管理这种风险(例如监控或加密)。

• 云提供商应提供云客户所需的文档和报告。例如，CSA STAR 注册表。

• 风险要求应与所涉及的具体资产和这些资产的风险承受能力相一致。

• 建立一种具体的风险管理和风险接受/缓解方法，以评估每个解决方案的风险。

• 控制剩余风险。如果仍然存在剩余风险，选择接受或规避风险。

• 基于资产类型(例如与数据分类相关联)、云的使用情况和管理情况，使用工具跟踪已批准的供应商。

---

三.法律问题，合同和电子举证

• 法律问题
  适各大洲的国家都建立了有时相互冲突的数据保护制度。 这样的结果就是，在多个地区运营的云提供商和云用户难以满足合规性要求。在许多 情况下用的法律要求应针对不同司法管辖区域，最广泛的吸收多种法律主体和框

• 云服务协议(合同)
  云合同的目的是准确地描述各方的理解。众多的注意事项和措施可以减少当事人 使用云服务中暴露在法律，商业接触，和声誉风险的不利影响。

• 电子举证
  云计算将成为诉讼或调查中所需要的电子化存储信息的仓库，云服务提供商 和他们的客户必须仔细规划如何识别案件涉及的所有文档，为了能够满足联邦民事诉 讼规则中电子证据发现条款的严格要求，各州也要与这些法律条款相吻合。

---

四.合规和审计

4.1 云计算上的合规和审计挑战

当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。

云计算所拥有的分布式和虚拟化的特性，使得原本基于确定目标和物理实 体的信息和过程的监管方法需要进行 重大的框架调整。云服务供应商和用户以及监管和审计机构在面对组织合规性的外部审计时面临很大挑战

理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。云计算用户、审核机构和供应商务必考虑并且理解以下几点:

• 针对特定的云服务或者服务提供商的监管的影响，对适用跨境或者多管辖权的事例给予特别关注。

• 云服务提供商和客户的合规责任分配，包括间接提供商(如:你所采用云服务提供商的云服务提供商)。这包括合规继承的概念，其中提供商可能有他们服务的 一部分被认证为合格，这部分可以从客户的审核范围中剔除，但客户仍然对建立 在顶层的供应商的合规性负责。

• 云服务提供商证明其合规的能力，包括及时的文档生成、证据产生以及过程合规性。

  一些附加的云服务特定的问题需要特别关注，包括以下几点:

   	1.供应商审核和认证的作用以及如何影响客户审核(或评估)范围。
   	2.了解云提供商的哪些功能和服务属于审核和评估的范围。
   	3.随着时间的推移管理合规性和审计。
   	4.与可能缺乏云计算技术经验的监管和审核机构合作。
   	5.与可能缺乏审核或合规性经验的供应商合作。
  

4.2 云对合规的改变

合规性在云服务中是一个共享责任模式。云服务供应商和客户都 有责任，但客户始终对自己的合规性负责。这些责任是通过合同、审核/评估和具体的 合规性要求的细节来确定的

4.2.1 准入型审计

许多云供应商被各种法规和行业要求认证，准入型审计是合规性继承的一种形式。在这个模型中，云供应商的所有或者某些基础设施和服务依照合规标准进行审核。供应商承担这些认证的成本和并维护认证。对供应商进行审计，包括准入型审计，都需要了解其局限性:

• 这些审计证明供应商是合规的。

• 在云服务上建立合规的应用程序和服务仍然是客户的责任。

• 这意味着供应商的基础设施/服务不在客户审核/评估范围之内。但客户建立自己的一切仍在审计范围内。

• 客户为他们自己所建立和维护的，承担最终的合规责任。

• 云计算的元结构可能跨越司法管辖区，数据/资产则不能，这必须纳入合规活动

  4.2.2 相关建议

• 合规、审核和保证应该是持续性的。

  云供应商应该：

• 清楚地传达他们的审计结果、认证和证明

• 云供应商必须随时间变化维护其认证/证明并主动沟通任何状态变化。云供应商应参与持续遵守措施，避免为客户造成任何差距，从而暴露风险。

• 为客户提供通常需要的合规所需的证据及文件，如客户不能自行收取的管理活动日志

  云客户应该：

• 在部署、迁移或开发云技术之前，明确全部合规义务。

• 评估提供商的第三方认证和认证，并将其与合规性要求保持一致。

• 了解评估和认证的范围，包括涵盖的控制和系统特性/服务。

• 尝试选择具有云计算经验的审核人员，尤其是当准入型审计和认证会被用于客户审计范围的情况下。

• 确保他们了解供应商提供的合规性证据，并有效地收集和管理这些证据。当供应商的证据不充足时，创建和收集自己的证据。

• 云安全联盟云控制矩阵可以支持提供云供应商的注册表、相关的遵从性要求以及当前的状态。

---

五.CSA 工具

5.1 CCM、CAIQ简介

CCM
CMM(云安全控制列表)分为 16 个域，133 个控制项。CCM 将云安全控制映 射到通用的合规框架、法规和标准，为这些控制构建通用语言。(包括标准 HIPAA/HITECH, PCI, …)，它有助于构建云安全需求列表，并帮助您评估和部署程序， 同时指导云服务提供者和云消费者。总的来说:CCM 告诉你做什么，而指南告诉你怎 么做。

CAIQ
CAIQ(共识评估问卷)，云提供者的标准问卷，直接与 CCM 保持一致。许多提 供者在 CSA STAR 注册表中预先填写并公开。