雲合規是根據業界指引及本地、國家及國際法律,符合雲端運用規範標準的藝術及科學。一些通用的規範包括健康保險便利和責任法案(HIPAA)、支付卡產業資料安全標準(PCI DSS)及金融服務法現代化法案(GLBA)。
進入雲端的機構都會擔心雲服務商如何協助他們符合法規,例如歐洲的歐盟通用資料保護法規(GDPR)或美國的 HIPAA。當然,這些考慮不應在使用雲服務之後才開始,而應在一開始時已經討論。
商業機構有時會發現自己在計劃踏入雲端之前已經在採用雲服務,這亦令事情變得更複雜。雲端的核心應該是一個自助式介面,讓用戶容易設立、變更及退出雲服務。
唯一不清楚的,就是在用戶方面是誰負責此程序。事實上,在今天此角色可能是任何人都在做,您只須擁有公司信用卡及有一個部門願意帶頭將數據放上雲端就可以,這亦即我們常聽到的「影子 IT」。由於雲端的特性,這術語亦經常被用到。
雲管治
管治是指機構高層行政人員及董事局對業務的監管,雲管治就是將這些監管延伸至雲端。管治是非常關鍵的,沒有管治,業務宗旨及目標都不會明確,令管理雲端及相關保安變得十分困難。
在機構邁向雲端前,機構應該先考慮其宗旨及目標,而這些宗旨及目標都應該受相關法律、規例及合約所規範。除了法律問題外,雲管治亦可引領員工依循正確途徑協助機構達致宗旨及目標。
重大失誤可能導致雲端令事情更複雜,阻礙用戶完成任務,甚至令機構面對法律訴訟。因此機構的董事局及管理層都必須關注雲端的問題。
法律與規例
討論合規時第一個提到的必然是法律問題。機構及其律師都應了解須遵守那些法律,並清楚違規的後果。在識別相關法律後,最重要的是要決定需要實施甚麼保安管控來遵守相關法規。
像歐盟通用資料保護法規這樣的規例,會要求在個人資料上實施大量保安管控,亦對在那個地方處理及儲存法規涵蓋的資料作出特定限制。這可能為雲端帶來潛在問題,不過大部份雲服務商都可以部署管控來滿足法規要求。
合約是兩個或更多方達成的正式協議。當一家機構簽訂合約時,他們必須遵守其內的條款。未能遵守條款可導致嚴重的財務罰則。
一個處理及儲存信用卡資料的機構很可能會和信用卡公司簽訂合約,需要實施支付卡產業資料安全標準(PCI DSS)中的某些特定元素。
要處理信用卡業務,機構需要簽訂協議,承諾達致標準中的 12 個保安要求,而需要實施的保安層級則視乎每年處理的交易數量而定。
機構亦應檢查與客戶的合約會否影響在雲端的處理程序。假如他們選擇自己屬意的雲端模式(公有雲、私有雲、社區雲等),會否影響合規?
很多業務都會採用不同標準作為實施保安管控的基礎,例如 ISO 27001 或 NIST SP 800-53。假如機構決定採用 ISO 27001 作為標準,他們需培訓員工以設置適當的管控,而此管制亦應涵蓋雲端。事實上,ISO 已將雲端獨有的管控分隔出來,並包含在 ISO 27017 中。
審計是評估遵守法律、規例及合約程度的方法,他們可來自內部或外部。由機構審計師進行的內部審計以自我評估方式決定機構的合規程度,但內部審計的觀點可能會被視為偏頗的,因為審計師的結論可能被先入為主的概念影響。
要取得更中立的意見,機構可選擇委任獨立第三方審計公司進行審計。我們談及的雲端審計是那些由雲服務商進行的。
大部份雲服務商都不容許客戶進入其數據中心自行作審計,所以我們都要依賴獨立第三方審計。
審計報告
審計結果可在審計報告中找到。這些報告都根據美國會計師公會(AICPA)標準而制定。所有機構都應該要求取得 SOC 2® 審計報告,這報告專為包括雲服務商等服務機構而設,會顯示對 ISO 27001 或 NIST Cybersecurity Framework(CSF)所列出管制的合規情況。這些管制根據 AICPA 的五個可靠服務準則進行評估,包括:
這些報告可以是 Type 1 或是 Type 2。Type 1 報告顯示在某一刻的管控狀況,而此管制是以一定程度的適用性來設計及安裝的。Type 2 報告顯示在一段時間內,例如 6 個月內,管控的運作效能。
雲端用戶應要求這些報告,但雲服務商卻可能不願提供,因為其中可能包含關於其業務的敏感資料。另一選擇就是設計作通用報告的 SOC 3®,此報告包含很少雲服務商業務的資料,但仍足以讓審計師評估服務商的表現。