云计算技术彻底改变了组织管理和存储信息的方式。组织曾经拥有和维护自己的数据,由于云计算的易用性以及节约成本的优势,许多组织现在已经转向基于云计算的模式。
但是拥有很多优势的云计算技术并不是没有成本。在云计算领域,有着最为引人关注的因素:那就是安全。
如果人们搜索组织在应用云计算所面临的陷阱和关注问题时,就会发现安全这个主题将会反复出现。一个希望将使用云服务的公司必须权衡云环境提供的好处,以避免与委托其敏感数据相关的组织所带来的风险。这些数据往往包括个人身份信息(以下称为PII),这通常是经常受到审查的数据类别,并受到一些最严格的法律和法规要求的约束。
云计算服务提供商的客户希望确保安全,他们委托一家云计算服务提供商将其个人身份信息(PII)保持至少与他们控制的数据相同的安全标准水平。对于一些组织来说,风险甚至更高,因为这是由某些法律和法规要求规定的,例如电子个人健康信息的“健康保险便携性和责任法案”(HIPAA)以及敏感财务的金融服务现代化法案(GLBA(GLBA)信息。
许多云服务提供商认为他们对客户的数据一无所知。然而,如果涉及个人健康信息或敏感财务数据的安全漏洞,云服务提供商可能会在适当的安全和隐私措施不到位的情况下遭遇到高额罚款和声誉损失。而一个有效的信息安全管理系统具有针对云安全和针对个人身份信息(PII)的隐私的特定控制考虑,这对云服务提供商来说是无价的。
人们可能对信息安全管理系统有什么疑问。要定义一个信息安全管理系统,首先了解一下它不是什么。信息安全管理系统不是指实施信息安全功能的实际“系统”,“应用”或“工具”。
更广泛的定义如下:信息安全管理系统代表组织解决信息安全问题的整体方法。这包括高层管理人员为了解决这些风险而采取的行动,可以通过执行以下操作来证明其行为:
•采用自上而下的信息安全方法,鼓励组织内的人员了解信息安全最佳实践
•根据其组织的独特威胁和漏洞进行风险评估
•通过使用和选择内部审计师,主动寻找问题和关注点
•监测和测量信息安全管理系统的性能和有效性
•建立持续改进信息安全管理体系的承诺
•确保实施安全控制并适用于其组织的目标和宗旨
最常用来展示组织有效实施信息安全管理体系的标准是ISO 27001标准。 ISO 27001标准是基本框架,几乎基于云计算或其他方面的所有服务提供商都可以努力实施。值得注意的是,ISO 27001为实施有效的信息安全管理体系的组织提供了许多好处,但有两个可能是最相关的,值得一提:
•有效的信息安全管理系统向潜在客户和当前客户表明服务组织意味着保护其所托付和负责的数据的业务。
•有效的信息安全管理系统帮助组织建立一种前瞻和主动的方法来解决信息安全问题,而不是通过一般侧重于历史信息的审计文化带来一种落后的观念。
上述要点可能足以使任何服务机构考虑实施信息安全管理系统。组织可以通过向客户展示认真处理信息来享受的声誉效益难以衡量。组织可以通过在发生安全事件的情况下实施有效的响应程序来节省成本也是无法估量的。当然,古老的格言仍然提醒人们:没有准备就是准备失败,这是ISO的本质。
但是,在ISO 27001标准下,这一点并没有停止,特别是对于交易必须更加重视信息安全的云服务提供商而言。除了符合ISO 27001标准的要求之外,组织还可以实施一系列措施,在处理敏感数据(例如个人身份信息)时增加安全和隐私措施。该标准被称为ISO 27018,可以根据ISO 27001标准与有效的信息安全管理系统一起实现。
ISO 27018,另外被称为ISO / IEC 27018:2014,是建立在一个组织的信息安全管理系统的基础上,通过建立一组专门用于保护PII在公共云中作为PII处理器的基于隐私的控制,重点是保护云中的个人身份信息(PII)。 ISO 27018提供了专门用于保护个人敏感数据的新的控件子集。
以下列出了对某些ISO 27018要求的高级概述:
•为云计算客户提供访问,纠正和清除自己的个人身份信息(PII)的能力
•确保数据根据其预期目的进行处理
•删除临时文件的步骤
•实施定义的披露程序
•如果使用分包商,提供公开透明的通知
•通过执行违规通知程序,鼓励云服务提供商问责
•对云服务提供商的更加严格的信息安全要求
希望在考虑上述概述之后,更清楚的是,实施符合ISO 27001标准的信息安全系统对于服务机构来说是非常重要的,但云计算服务提供商希望能够解决其客户的任何安全隐私问题,将这些控制采用ISO 27018标准可能是组织的最佳选择。
随着技术的发展,其潜在的威胁和漏洞也随之演化。有效的信息安全管理系统为组织提供了一种主动,前瞻性的信息安全方法。鉴于云计算技术自成立以来一直受到安全和隐私问题的困扰,这一点更为重要。因为风险只会继续增加。
云服务提供商现在可能需要考虑如何使其组织从实施信息安全管理系统中获益,该系统将其27001控制与ISO 27018目标相一致。