32、云环境下的审计、安全管理与合规性

云环境下的审计、安全管理与合规性

1. 审计基础

1.1 审计范围限制

审计需要设定参数，以确保工作聚焦于可有效审计的相关领域，这就是审计范围限制。限制审计范围的原因在于，审计成本高昂，需要聘请高技能且高薪的专家，而且对系统进行审计可能影响系统性能，有时还会导致生产系统停机。

审计范围限制对安全专业人员尤为重要，它能明确审计的操作组件，如可接受的时间范围（例如一周中的具体日期和时段）以及针对哪些系统可进行的测试类型。精心制定范围限制可以确保审计活动不会对生产系统造成不利影响，同时明确哪些系统需要接受审计。例如，对HIPAA合规性的审计仅会涵盖处理和存储PHI的系统。

1.2 差距分析

作为正式审计流程的前奏，公司可以进行差距分析，以识别潜在的问题区域。差距分析是将公司实践与特定框架进行比较，找出两者之间的“差距”。这种分析通常由外部或第三方进行，以确保其客观性。一些行业合规标准（如HIPAA或PCI）可能要求外部实体进行此类分析，因为外部顾问往往能发现日常工作在该领域的人员不易察觉的差距。

如果针对业务功能进行差距分析，首先要确定一个相关的行业标准框架作为比较基准。在信息安全领域，通常会与ISO/IEC 27002等标准进行比较，另一个常用的网络安全基准是NIST网络安全框架。

差距分析的一般步骤如下：
1. 确定分析的必要性并获得管理层的支持。
2. 定义范围、目标和相关框架。
3. 确定部门或领域的当前状态，通常包括对部门的评估、研究和员工访谈。
4. 审查证据和支持性文件，包括验证陈述和数据。
5. 识别框架与实际情况之间的“差距”，这有