18、企业云安全与移动设备安全管理

企业云安全与移动设备安全管理

1. 企业云安全管理

1.1 资产管理与供应链

云服务从根本上把存储、计算、操作系统和应用的部署等技术挑战转变为供应链挑战。企业需与供应商签订合同，让供应商提供服务并管理相关资产。企业要确保云服务合同包含能降低自身重大风险的网络安全措施。这份合同可让企业技术资源专注于其他功能领域的重要挑战。

企业应将与云服务提供商的合同视为风险管理活动，从企业网络安全的 11 个功能领域来考量网络安全风险。各功能领域专家要询问云供应商能提供哪些保护措施，并考虑这些措施如何融入企业整体网络安全计划，包括最坏情况下的灾难恢复。企业还需对安全权衡进行成本效益分析，如云提供商成本增加、购买保险或应急方案、其他风险缓解投资等。同时，使用云服务时，企业要考虑安全漏洞、服务中断或短期内更换云提供商的潜在成本。

1.2 政策、审计、电子发现和培训

在政策、审计、电子发现和培训功能领域，企业使用云服务时应考虑以下要点：
- 符合法规和标准 ：使用受法规或外部标准约束的云服务时，企业要依据这些标准评估云服务，并在选择供应商时考虑这些标准。不同云服务可能更适合不同标准，这可能使企业做出艰难权衡，甚至为一项服务使用多个云提供商。
- 内部安全政策冲突 ：云服务可能与企业内部网络安全政策冲突，如强认证、网络保护或加密要求。此时需进行仔细的风险/效益分析，可能会批准政策例外或部署补偿性控制措施。
- 纳入企业安全体系 ：即使服务由云提供商提供，也不能脱离企业网络安全政策、程序和安全能力。审计、重新认证、渗