章節總結
IT系統失敗,停電,內幕欺詐,犯罪團伙和敵對國家的網絡攻擊......公司面臨的風險很長。不遵守法律和監管要求是另一個主要風險,其後果,在當局施加的罰款和其他處罰方面,可能遠遠超過其他操作風險損失事件造成的損害。
瞭解外包的運營和合規風險
將服務移動到雲將一些風險管理職責轉移到第三方雲服務提供商(CSP),但只是管理風險轉移;對實際風險的責任仍然存在於公司,而不是CSP。因此,公司的運營風險管理框架必須考慮雲服務採用所產生的特殊情況。該框架的一個重要組成部分應該是對信息資產進行分類 - 例如知識產權,客戶數據庫和財務信息 - 以便管理它們面臨的風險;在合同中包含審計雲環境的權利;退出戰略,具有相關的合同條件;涵蓋雲服務全部範圍的業務連續性計劃; IT服務管理程序和控制;以及重新設計的運營模式,以確保適當的團隊結構和功能來管理雲服務。
網絡安全
網絡風險值得特別關注。安全必須緊張。入侵者在互聯網甚至封閉系統上訪問IT系統的風險迫使組織提高安全性。然而,攻擊不斷髮生,公司防禦措施因違規而受到破壞。公司需要了解他們面臨的整體網絡威脅,遷移到雲時可能會遇到哪些具體威脅以及應採取的其他安全措施。他們還需要評估雲提供商的網絡安全程序,以確保滿足客戶的需求。
法律和法規遵從性
遵守國家有關數據的法律和法規是一個必須解決的問題。誰擁有這些數據?應該在哪些國家/地區存儲數據?誰被允許訪問存儲在另一個國家/地區的數據?託管在雲服務和其他互聯網平臺上的數據受存儲數據的國家/地區的法律和法規的約束。歐盟也有適用於境外數據的規則。通用數據保護條例(GDPR)於2018年5月生效,旨在改善組織收集,存儲和處理數據的歐盟公民的數據保護;但該法規的範圍擴展到使用歐盟以外服務器的公司,如果這些服務器持有歐盟公民的數據。必須理解GDPR的全部含義。
閱讀
主要建議
- 應為雲創建組織內的風險管理框架。瞭解外包的運營和合規風險至關重要。
- 通過所有風險和監管複雜性繪製路線將確保公司獲得從雲中獲得的利益。
- 適當的盡職調查應該是任何外包計劃的標準,以瞭解關鍵風險並將控制權納入合同。供應商風險必須考慮在內。
- 入侵者獲得IT系統訪問權的風險迫使組織提高安全性。網絡風險值得特別關注。安全必須緊張。
- 遵守國家有關數據的法律和法規是必須解決的棘手問題,必須理解和遵守GDPR的全部含義。
閱讀更多 智能時刻 的文章
