A felhőbiztonsági szabályzatok és szabványok működése
A biztonsági szabályzatokkal és szabványokkal foglalkozó csapatok biztonsági szabályzatokat és szabványokat hoznak létre, hagynak jóvá és tesznek közzé, hogy útmutatást nyújthassanak a szervezeten belüli biztonsági döntésekhez.
A szabályzatoknak és szabványoknak a következőket kell tenni:
- Tükrözze a szervezetek biztonsági stratégiáját a különböző csapatok által a szervezeten belüli döntések irányításához elég részletes módon
- A hatékonyság növelése a szervezet egészében, miközben csökkenti a vállalatok üzleti és küldetési kockázatait
A biztonsági politikának hosszú távú fenntartható célkitűzéseket kell tükröznie, amelyek igazodnak a szervezetek biztonsági stratégiájához és kockázattűréséhez. A szabályzatnak mindig a következőre kell foglalkoznia:
- Jogszabályi megfelelőségi követelmények és aktuális megfelelőségi állapot (követelmények teljesültek, elfogadott kockázatok stb.)
- Az aktuális állapot architekturális felmérése, valamint a tervezés, implementálás és kényszerítés technikailag lehetséges
- Szervezeti kultúra és preferenciák
- Iparági ajánlott eljárások
- Az egyéb kockázatokért és üzleti eredményekért felelős megfelelő üzleti érdekelt feleknek kiosztott biztonsági kockázatok elszámoltathatósága.
A biztonsági szabványok határozzák meg a biztonsági szabályzat végrehajtását támogató folyamatokat és szabályokat.
Korszerűsítése
Bár a szabályzatnak statikusnak kell maradnia, a szabványoknak dinamikusnak kell lenniük, és folyamatosan újra kell kísérni, hogy lépést tartsanak a felhőtechnológia, a veszélyforrások környezete és az üzleti versenyhelyzet változásainak ütemével.
A nagy mértékű változás miatt érdemes figyelemmel kísérni, hogy hány kivétel történik, mivel ez a szabványok (vagy szabályzatok) módosításának szükségességét jelezheti.
A biztonsági szabványoknak tartalmazniuk kell a felhő bevezetésére vonatkozó útmutatást, például:
- Felhőplatformok biztonságos használata számítási feladatok üzemeltetéséhez
- A DevOps-modell biztonságos használata, valamint a felhőalkalmazások, API-k és szolgáltatások beépítése a fejlesztésbe
- Identitáshatár-vezérlők használata a hálózati szegélyvezérlők kiegészítéséhez vagy cseréjéhez
- A szegmentálási stratégia meghatározása a számítási feladatok IaaS-platformra való áthelyezése előtt
- Az eszközök címkézése és besorolása
- Az eszközök megfelelő konfigurálásának és biztonságának felmérésére és biztosítására szolgáló folyamat meghatározása
Csapatösszeállítás és kulcskapcsolatok
A felhőbiztonsági szabályzatokat és szabványokat általában a következő szerepkörtípusok biztosítják. A szervezeti szabályzatnak tájékoztatnia kell (és tájékoztatnia kell):
- Biztonsági architektúrák
- Megfelelőségi és kockázatkezelési csapatok
- Az üzleti egység vezetősége és képviselői
- Információs technológia
- Auditálási és jogi csapatok
A szabályzatot a szervezet számos bemenete/követelménye alapján kell finomítani, beleértve a biztonsági áttekintési diagramon láthatóakat is, de nem korlátozva.
Következő lépések
Tekintse át a felhőbiztonsági műveleti központ (SOC) funkcióját.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: