Příručka zásad správného řízení pro komplexní podniky: počáteční podniková zásada za strategii zásad správného řízeníGovernance guide for complex enterprises: Initial corporate policy behind the governance strategy

Následující podnikové zásady definují počáteční umístění zásad správného řízení, které je výchozím bodem tohoto průvodce.The following corporate policy defines the initial governance position that's the starting point for this guide. Tento článek definuje předem připravená rizika, počáteční příkazy zásad a prvotní procesy pro vykonání příkazů zásad.This article defines early-stage risks, initial policy statements, and early processes to enforce policy statements.

Poznámka

Podniková zásada není technickým dokumentem, ale obsahuje mnoho technických rozhodnutí.The corporate policy is not a technical document, but it drives many technical decisions. MVP pro kontrolu zásad správného řízení, který je popsaný v přehledu , je nakonec odvozený od této zásady.The governance MVP described in the overview ultimately derives from this policy. Před implementací MVP pro řízení by vaše organizace měla vytvořit podnikovou zásadu na základě vašich vlastních cílů a obchodních rizik.Before implementing a governance MVP, your organization should develop a corporate policy based on your own objectives and business risks.

Tým zásad správného řízení clouduCloud governance team

CIO nedávno držela schůzku se svým týmem zásad správného IT, aby porozuměla historii osobních údajů a zásad kritických zásad a zkontrolovala účinek změny těchto zásad.The CIO recently held a meeting with the IT governance team to understand the history of the personal data and mission-critical policies and review the effect of changing those policies. CIO také probrala Celkový potenciál cloudu pro IT a společnost.The CIO also discussed the overall potential of the cloud for IT and the company.

Po schůzce se dva členové týmu pro řízení IT požádali o oprávnění k výzkumu a podpoře úsilí v oblasti plánování cloudu.After the meeting, two members of the IT governance team requested permission to research and support the cloud planning efforts. UZNÁVAJÍCE nutnost zásad správného řízení a možnost omezit její stínové vlastnictví, což je ředitel zásad správného řízení IT, který tento nápad podporuje.Recognizing the need for governance and an opportunity to limit shadow IT, the director of IT governance supported this idea. V takovém případě se jednalo o cloudový tým zásad správného řízení.With that, the cloud governance team was born. Během několika dalších měsíců zdědí z perspektivy zásad správného řízení vyčištění mnoha chyb provedených během průzkumu v cloudu.Over the next several months, they will inherit the cleanup of many mistakes made during exploration in the cloud from a governance perspective. Tím získají moniker Cloud starají.This will earn them the moniker of cloud custodians. V pozdějších iteracích Tato příručka ukazuje, jak se jejich role v průběhu času mění.In later iterations, this guide will show how their roles change over time.

CílObjective

Počátečním cílem je vytvořit základ flexibility zásad správného řízení.The initial objective is to establish a foundation for governance agility. Účinný MVP pro řízení (MVP) umožňuje týmu zásad správného řízení zůstat před přijetím cloudu a nasazením guardrails jako změn plánu přijetí.An effective Governance MVP allows the governance team to stay ahead of cloud adoption and implement guardrails as the adoption plan changes.

Obchodní rizikaBusiness risks

Společnost je v rané fázi přijímání do cloudu, experimentování a vytváření důkazů konceptu.The company is at an early stage of cloud adoption, experimenting and building proofs of concept. Rizika jsou nyní poměrně nízká, ale budoucí rizika pravděpodobně mají významný dopad.Risks are now relatively low, but future risks are likely to have a significant impact. V rámci konečného stavu technických řešení, která se mají nasadit do cloudu, existuje trochu definice.There is little definition around the final state of the technical solutions to be deployed to the cloud. Kromě toho je nízká připravenost cloudu u zaměstnanců IT.In addition, the cloud readiness of IT employees is low. Základem pro přijetí cloudu je pomáhat týmu v bezpečném učení a růstu.A foundation for cloud adoption will help the team safely learn and grow.

Budoucí kontrola: Existuje riziko, že není potřeba růst, ale také riziko, že neposkytnete správnou ochranu před budoucími riziky.Future-proofing: There is a risk of not empowering growth, but also a risk of not providing the right protections against future risks.

K podpoře výhledu na oddělení podnikového a technického růstu je potřeba agilní přístup ke zásadám správného řízení.An agile yet robust governance approach is needed to support the board's vision for corporate and technical growth. Nepovedlo se implementovat takovou strategii, která by potenciálně hrozila v aktuálním a budoucím růstu tržního podílu.Failure to implement such a strategy will slow technical growth, potentially risking current and future market share growth. Dopad takového obchodního rizika je neotázekně vysoký.The impact of such a business risk is unquestionably high. Role, kterou přehraje v těchto možných budoucích stavech, je ale neznámá, takže riziko spojené s aktuálním úsilím IT je poměrně vysoké.However, the role IT will play in those potential future states is unknown, making the risk associated with current IT efforts relatively high. V takovém případě, dokud nebudou zarovnány další konkrétní plány, má podnik vysokou toleranci vůči rizikům.That said, until more concrete plans are aligned, the business has a high tolerance for risk.

Toto obchodní riziko může být rozdělené tactically na několik technických rizik:This business risk can be broken down tactically into several technical risks:

  • V případě, že se v rámci strukturovaného schvalovacího toku nepovažují za vhodné podnikové zásady, mohly by docházet k pomalému úsilí při transformaci aWell-intended corporate policies could slow transformation efforts or break critical business processes, if not considered within a structured approval flow.
  • Použití zásad správného řízení pro nasazené prostředky může být obtížné a nákladné.The application of governance to deployed assets could be difficult and costly.
  • Zásady správného řízení se nemusí v rámci aplikace nebo úlohy správně použít, takže se nevytvoří mezery v zabezpečení.Governance may not be properly applied across an application or workload, creating gaps in security.
  • Díky tomu mnoho týmů pracujících v cloudu existuje riziko nekonzistence.With so many teams working in the cloud, there is a risk of inconsistency.
  • Náklady se nemusí správně zarovnat na obchodní jednotky, týmy nebo jiné jednotky rozpočtového řízení.Costs may not properly align to business units, teams, or other budgetary management units.
  • Použití více identit ke správě různých nasazení může vést k problémům se zabezpečením.The use of multiple identities to manage various deployments could lead to security issues.
  • Navzdory současným zásadám existuje riziko, že se chráněná data můžou omylem nasadit do cloudu.Despite current policies, there is a risk that protected data could be mistakenly deployed to the cloud.

Indikátory toleranceTolerance indicators

Aktuální tolerance rizika je vysoká a později pro investice do zásad správného řízení cloudu je nízká.The current risk tolerance is high and the appetite for investing in cloud governance is low. V takovém případě indikátory tolerance slouží jako systém včasného varování, který aktivuje investici času a energie.As such, the tolerance indicators act as an early warning system to trigger the investment of time and energy. Pokud jsou pozorovány následující indikátory, bylo by vhodné předem navýšit strategii zásad správného řízení.If the following indicators are observed, it would be wise to advance the governance strategy.

  • Cost management disciplína: Škálování nasazení překračuje 1 000 prostředků do cloudu nebo měsíční útrata překračuje $10 000 USD za měsíc.Cost Management discipline: Scale of deployment exceeds 1,000 assets to the cloud, or monthly spending exceeds $10,000 USD per month.
  • Disciplína směrného plánu identity: Zahrnutí aplikací se staršími požadavky na službu Multi-Factor Authentication nebo třetích stran.Identity Baseline discipline: Inclusion of applications with legacy or third-party multi-factor authentication requirements.
  • Základní obor zabezpečení: Zahrnutí chráněných dat v definovaných plánech přijetí do cloudu.Security Baseline discipline: Inclusion of protected data in defined cloud adoption plans.
  • Obor konzistence prostředků: Zahrnutí všech klíčových aplikací v definovaných plánech přijetí do cloudu.Resource Consistency discipline: Inclusion of any mission-critical applications in defined cloud adoption plans.

Příkazy zásadPolicy statements

Následující příkazy zásad určují požadavky potřebné k nápravě definovaných rizik.The following policy statements establish the requirements needed to remediate the defined risks. Tyto zásady definují funkční požadavky pro MVP pro zásady správného řízení.These policies define the functional requirements for the governance MVP. Každé bude reprezentovat v implementaci MVP pro řízení.Each will be represented in the implementation of the governance MVP.

Cost Management:Cost Management:

  • Pro účely sledování musí být všechny prostředky přiřazeny vlastníkovi aplikace v rámci jedné z hlavních obchodních funkcí.For tracking purposes, all assets must be assigned to an application owner within one of the core business functions.
  • V případě, že dojde k cenovým obavám, budou se finančnímu týmu navázat další požadavky na řízení.When cost concerns arise, additional governance requirements will be established with the finance team.

Základní hodnoty zabezpečení:Security Baseline:

  • Každý Asset nasazený do cloudu musí mít schválenou klasifikaci dat.Any asset deployed to the cloud must have an approved data classification.
  • Do cloudu se nedají nasadit žádné prostředky identifikované s chráněnou úrovní dat, dokud nebudou schválené a implementované dostatečné požadavky na zabezpečení a zásady správného řízení.No assets identified with a protected level of data may be deployed to the cloud, until sufficient requirements for security and governance can be approved and implemented.
  • Dokud se nemůžou ověřit a řídit minimální požadavky na zabezpečení sítě, cloudová prostředí se zobrazují jako hraniční sítě a musí splňovat podobné požadavky na připojení jiným datovým centrům nebo interním sítím.Until minimum network security requirements can be validated and governed, cloud environments are seen as perimeter networks and should meet similar connection requirements to other datacenters or internal networks.

Konzistence prostředků:Resource Consistency:

  • Vzhledem k tomu, že v této fázi nejsou nasazeny žádné zásadní úlohy, nemusíte mít žádné požadavky na smlouvu SLA, výkon nebo BCDR.Because no mission-critical workloads are deployed at this stage, there are no SLA, performance, or BCDR requirements to be governed.
  • Pokud jsou nasazené úlohy kritické, budou se pro IT operace navázat další požadavky na zásady správného řízení.When mission-critical workloads are deployed, additional governance requirements will be established with IT operations.

Směrné plány identity:Identity Baseline:

  • Všechny prostředky nasazené do cloudu by se měly řídit pomocí identit a rolí schválených aktuálními zásadami správného řízení.All assets deployed to the cloud should be controlled using identities and roles approved by current governance policies.
  • Všechny skupiny v místní infrastruktuře služby Active Directory, které mají zvýšená oprávnění, by měly být namapované na schválenou roli RBAC.All groups in the on-premises Active Directory infrastructure that have elevated privileges should be mapped to an approved RBAC role.

Akcelerace nasazení:Deployment Acceleration:

  • Všechny prostředky musí být seskupené a označené podle definovaných strategií seskupení a označování.All assets must be grouped and tagged according to defined grouping and tagging strategies.
  • Všechny prostředky musí používat schválený model nasazení.All assets must use an approved deployment model.
  • Jakmile se pro poskytovatele cloudu zřídí základ zásad správného řízení, musí být všechny nástroje pro nasazení kompatibilní s nástroji definovanými týmem zásad správného řízení.Once a governance foundation has been established for a cloud provider, any deployment tooling must be compatible with the tools defined by the governance team.

ProcesyProcesses

Nebylo přiděleno žádné rozpočty pro průběžné monitorování a vynucování těchto zásad správného řízení.No budget has been allocated for ongoing monitoring and enforcement of these governance policies. Proto tým zásad správného řízení cloudu Improvised způsoby, jak monitorovat dodržování příkazů zásad.Because of that, the cloud governance team has improvised ways to monitor adherence to policy statements.

  • Vzdělávání: Tým zásad správného řízení cloudu umožňuje investovat na základě průvodců zásad správného řízení, které tyto zásady podporují, k informování týmů pro přijímání cloudu.Education: The cloud governance team is investing time to educate the cloud adoption teams on the governance guides that support these policies.
  • Recenze nasazení: Před nasazením jakékoli assetu si tým zásad správného řízení v cloudu přezkoumá Průvodce zásadou správného řízení s týmy pro přijetí v cloudu.Deployment reviews: Before deploying any asset, the cloud governance team will review the governance guide with the cloud adoption teams.

Další krokyNext steps

Tato podniková zásada připraví tým zásad správného řízení cloudu, aby jako základ pro přijetí implementovala MVP.This corporate policy prepares the cloud governance team to implement the governance MVP as the foundation for adoption. Dalším krokem je implementace tohoto MVP.The next step is to implement this MVP.