[导语] 2023年云端攻击激增48%!八成企业遭遇安全事件,近八成企业至少遭遇一次云安全事件。这个背景下由ISACA中国与AWS两大机构联合编制发布了这份《云安全合规建设最佳实践白皮书》。
白皮书基于ISACA中国与亚马逊云科技两大机构在云安全领域的深厚经验,从治理、技术、合规解决方案、人员能力建设四大维度出发,以亚马逊云科技的原生安全服务为例,以提供云安全建设最佳实践思路为切入点,聚焦云治理、管理和技术手段相结合的建设思路,帮助云安全领域的从业人员在企业内部开展云安全合规建设过程中,明确安全责任并制定清晰的云安全责任共担模型,建立完善的云安全管理体系包括云安全策略、流程和标准等,优先采用云原生安全方法和工具,将安全融入到云应用的整个生命周期。重点解决云环境中的数据泄露风险、权限管理痛点、事件响应难点以及合规基线配置有效落地等具体问题。完整版白皮书获取方式可以参看文章结尾。
核心建议1:云安全治理体系
云安全治理体系是为确保云环境安全而制定的一套策略、流程、组织架构和技术措施的框架。它旨在帮助企业在云环境中有效管理安全风险,保障业务数据的机密性、完整性和可用性。 以下是一些重要的云安全治理模型要素:
- 明确安全责任
- 制定安全策略和标准
- 建立安全组织架构
- 实施安全技术措施
- 建立安全意识和文化
核心建议2:安全责任共担模型
明确安全责任是云安全治理工作的第一步,同时也是企业的一大挑战。企业和云服务提供商需要明确各自的责任,并采取相应的措施来履行这些责任。
核心建议3:云安全管理和成熟度模型
完善的云安全管理流程也是确保云安全控制得以有效落地的重要组成部分。ISACA的COBIT框架在风险评估和管理、合规性管理、身份和访问管理、安全监控和事件响应、数据安全、应用安全、供应链安全、架构和设计、资源管理、预算和成本、变更管理、配置管理和业务连续性等方面均开发了云安全管理的最佳实践用于指导企业在云安全的日常运营过程落地安全控制措施。
实务操作:云安全服务最佳实践
- 多账号管理设计原则和最佳实践
- 数据边界防护目标、策略与实施
- 安全合规检测
- 威胁和自动修复
风险管控:云安全合规审计能力建设 CCAK
定期开展云安全审计能够帮助企业在动态的云环境中保持持续合规,同时提升整体安全能力,为企业的数字化转型保驾护航。而这就对从审计、信息安全等从业人员提出了新的复合型专业能力要求。云审计知识证书(CCAK),云安全联盟(CSA)与ISACA 共同开发的标准和认证,为从业人员提供的云审计知识、培训和证书。
受篇幅限制,完整版白皮书可以在ISACA中国官网免费下载。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
