Standardní příručka pro zásady správného řízení podniku: počáteční podniková zásada za strategii zásad správného řízení

Následující podnikové zásady definují počáteční umístění zásad správného řízení, což je výchozí bod tohoto průvodce. Tento článek definuje předem připravená rizika, počáteční příkazy zásad a prvotní procesy pro vykonání příkazů zásad.

Poznámka

Podniková zásada není technickým dokumentem, ale obsahuje mnoho technických rozhodnutí. MVP pro kontrolu zásad správného řízení, který je popsaný v přehledu , je nakonec odvozený od této zásady. Před implementací MVP pro řízení by vaše organizace měla vytvořit podnikovou zásadu na základě vašich vlastních cílů a obchodních rizik.

Tým zásad správného řízení cloudu

V tomto mluveném komentáři tým zásad správného řízení cloudu sestává ze dvou správců systémů, kteří uznávají potřebu zásad správného řízení. Během několika dalších měsíců zdědí úlohu vyčistění zásad správného řízení firemního cloudu, který jim poskytne název cloudové starajíy. V následných iteracích se tento název nejspíš změní.

Cíl

Počátečním cílem je vytvořit základ flexibility zásad správného řízení. Účinný MVP pro řízení (MVP) umožňuje týmu zásad správného řízení zůstat před přijetím cloudu a nasazením guardrails jako změn plánu přijetí.

Obchodní rizika

Společnost je v rané fázi přijímání do cloudu, experimentování a vytváření důkazů konceptu. Rizika jsou nyní poměrně nízká, ale budoucí rizika pravděpodobně mají významný dopad. V rámci konečného stavu technických řešení, která se mají nasadit do cloudu, existuje trochu definice. Kromě toho je nízká připravenost cloudu u zaměstnanců IT. Základem pro přijetí cloudu je pomáhat týmu v bezpečném učení a růstu.

Budoucí kontrola: Existuje riziko, že není potřeba růst, ale také riziko, že neposkytnete správnou ochranu před budoucími riziky.

K podpoře výhledu na oddělení podnikového a technického růstu je potřeba agilní přístup ke zásadám správného řízení. Nepovedlo se implementovat takovou strategii, která by potenciálně hrozila v aktuálním a budoucím růstu tržního podílu. Dopad takového obchodního rizika je neotázekně vysoký. Role, kterou přehraje v těchto možných budoucích stavech, je ale neznámá, takže riziko spojené s aktuálním úsilím IT je poměrně vysoké. V takovém případě, dokud nebudou zarovnány další konkrétní plány, má podnik vysokou toleranci vůči rizikům.

Toto obchodní riziko může být rozdělené tactically na několik technických rizik:

  • V případě, že se v rámci strukturovaného schvalovacího toku nepovažují za vhodné podnikové zásady, mohly by docházet k pomalému úsilí při transformaci a
  • Použití zásad správného řízení pro nasazené prostředky může být obtížné a nákladné.
  • Zásady správného řízení se nemusí v rámci aplikace nebo úlohy správně použít, takže se nevytvoří mezery v zabezpečení.
  • Díky tomu mnoho týmů pracujících v cloudu existuje riziko nekonzistence.
  • Náklady se nemusí správně zarovnat na obchodní jednotky, týmy nebo jiné jednotky rozpočtového řízení.
  • Použití více identit ke správě různých nasazení může vést k problémům se zabezpečením.
  • Navzdory současným zásadám existuje riziko, že se chráněná data můžou omylem nasadit do cloudu.

Indikátory tolerance

Současná tolerance pro riziko je vysoká a později pro investice do zásad správného řízení cloudu je nízká. V takovém případě indikátory tolerance slouží jako systém včasného varování, který aktivuje více investic času a energie. Pokud jsou pozorovány následující indikátory, měli byste vylepšit strategii zásad správného řízení.

  • Správa nákladů: Škálování nasazení překračuje předem vymezené limity počtu prostředků nebo měsíčních nákladů.
  • Základní hodnoty zabezpečení: Zahrnutí chráněných dat v definovaných plánech přijetí do cloudu.
  • Konzistence prostředků: Zahrnutí všech klíčových aplikací v definovaných plánech přijetí do cloudu.

Příkazy zásad

Následující příkazy zásad určují požadavky potřebné k nápravě definovaných rizik. Tyto zásady definují funkční požadavky pro MVP pro zásady správného řízení. Každé bude reprezentovat v implementaci MVP pro řízení.

Cost Management:

  • Pro účely sledování musí být všechny prostředky přiřazeny vlastníkovi aplikace v rámci jedné z hlavních obchodních funkcí.
  • V případě, že dojde k cenovým obavám, budou se finančnímu týmu navázat další požadavky na řízení.

Základní hodnoty zabezpečení:

  • Každý Asset nasazený do cloudu musí mít schválenou klasifikaci dat.
  • Do cloudu se nedají nasadit žádné prostředky identifikované s chráněnou úrovní dat, dokud nebudou schválené a implementované dostatečné požadavky na zabezpečení a zásady správného řízení.
  • Dokud se nemůžou ověřit a řídit minimální požadavky na zabezpečení sítě, cloudová prostředí se zobrazují jako hraniční sítě a musí splňovat podobné požadavky na připojení jiným datovým centrům nebo interním sítím.

Konzistence prostředků:

  • Vzhledem k tomu, že v této fázi nejsou nasazeny žádné zásadní úlohy, nemusíte mít žádné požadavky na smlouvu SLA, výkon nebo BCDR.
  • Pokud jsou nasazené úlohy kritické, budou se pro IT operace navázat další požadavky na zásady správného řízení.

Směrné plány identity:

  • Všechny prostředky nasazené do cloudu by se měly řídit pomocí identit a rolí schválených aktuálními zásadami správného řízení.
  • Všechny skupiny v místní infrastruktuře služby Active Directory, které mají zvýšená oprávnění, by měly být namapované na schválenou roli RBAC.

Akcelerace nasazení:

  • Všechny prostředky musí být seskupené a označené podle definovaných strategií seskupení a označování.
  • Všechny prostředky musí používat schválený model nasazení.
  • Jakmile se pro poskytovatele cloudu zřídí základ zásad správného řízení, musí být všechny nástroje pro nasazení kompatibilní s nástroji definovanými týmem zásad správného řízení.

Procesy

Nebylo přiděleno žádné rozpočty pro průběžné monitorování a vynucování těchto zásad správného řízení. Proto tým zásad správného řízení cloudu Improvised způsoby, jak monitorovat dodržování příkazů zásad.

  • Vzdělávání: Tým zásad správného řízení cloudu umožňuje investovat na základě průvodců zásad správného řízení, které tyto zásady podporují, k informování týmů pro přijímání cloudu.
  • Recenze nasazení: Před nasazením jakékoli assetu si tým zásad správného řízení v cloudu přezkoumá Průvodce zásadou správného řízení s týmy pro přijetí v cloudu.

Další kroky

Tato podniková zásada připraví tým zásad správného řízení cloudu, aby implementovala MVP pro řízení MVP, který bude základem pro přijetí. Dalším krokem je implementace tohoto MVP.