企业必须符合广泛的且不断变化的规则清单,处在高度管制行业的企业更是如此。如果公司的信息安全策略和IT系统没有遵守这些方针政策,那么,企业将面临罚款和其他处罚。 金融服务和医疗保健等行业的规则包括PCIDSS、SOX、GLBA、HIPAA和HITECH,这些规则都提供了有关个人信息处理的具体方针政策。
因为云的出现,合规性进行了新的调整。为了保护企业,企业需要提出正确的问题,而不只是对云计算的合规需求做表面评估。
检查所有规则的更新
合规是一个动态的目标。健康保险流通与责任法(HIPAA)经过多次细化,于1996年8月正式通过。报告称合规需求从公司员工扩大到业务伙伴,如任何第三方承包商。因此,公司必须了解如何保证信息的安全以及员工如何使用。公司还负责了解其合作伙伴的系统是如何设置的,以及如何处理机密信息。
根据信息的重要性排序
并非所有的信息都同等重要。因此,将信息迁移到云之前,企业首先应进行数据评估,并将信息按重要性排序。 例如,公司的地址没有必要像客户地址那样,必须得到保障,因此,维护客户地址更重要。 在某些情况下,组织可以将高度机密的数据永远存储在本地,而不是在公有云中。对于移动到云中的数据,企业需要与云提供商合作,从而建立健全的程序。
了解数据存储的具体位置
云所面临的一个挑战是其往往设计的模糊不清。信息可以存储在不同的地方,供应商通常也有多个数据中心。在某些情况下,主要的数据中心可以容纳一个“指针”,而不是记录本身。了解数据存储的位置至关重要。必须确保采取的数据保护手段能够回答这些问题:谁能够看到这些数据?谁来管理数据?数据是如何管理的?备份过程是怎样的?备份数据存储在哪里?备份数据如何存储?信息与其他组织的信息是否区分开?
了解有关加密服务的详细信息
了解有关所有云服务,包括加密服务的详细信息,但是加密服务不尽相同。当信息从一个地方转移到另一个地方,保护信息是一个很好的出发点,但这往往是不够的。公司还必须确保数据被有效保护,存储在存储主轴上。服务级别协议中应包含信息必须被加密的规定。
检查披露政策
全国零售商Target的一个安全漏洞泄露了100多万用户的私人信息。Target的问题不仅仅在于Target的数据保护系统,还在于:一段时期以来,该公司向公众隐瞒该事件。了解信息披露政策。有一些规则云供应商和公司都必须遵守。短暂的延迟期是不可避免的,因为公司试图理清一些问题,如果拖延的话,还会产生合规性问题。