Funktion för säkerhets principer och standarder för molnetFunction of cloud security policy and standards

Säkerhets principer och standard team skapar, godkänner och publicerar säkerhets principer och standarder för att vägleda säkerhets beslut i organisationen.Security policy and standards teams author, approve, and publish security policy and standards to guide security decisions within the organization.

Principer och standarder bör:The policies and standards should:

  • Avspegla säkerhets strategin för organisationer på ett detaljerat sätt för att vägleda beslut i organisationen av olika teamReflect the organizations security strategy at a detailed enough way to guide decisions in the organization by various teams
  • Aktivera produktivitet i hela organisationen samtidigt som du minskar riskerna för organisationernas verksamhet och uppdragEnable productivity throughout the organization while reducing risk to the organizations business and mission

Säkerhets principer bör återspegla långsiktiga, hållbara mål som överensstämmer med organisationens säkerhets strategi och risk tolerans.Security policy should reflect long term sustainable objectives that align to the organizations security strategy and risk tolerance. Principen ska alltid uppfylla följande adresser:Policy should always address:

  • Gällande krav på efterlevnad och aktuell kompatibilitetsstatus (krav uppfylls, risker som accepteras och så vidare.)Regulatory compliance requirements and current compliance status (requirements met, risks accepted, and so on.)
  • Arkitektur bedömning av nuvarande tillstånd och det tekniskt möjligt att utforma, implementera och genomdrivaArchitectural assessment of current state and what is technically possible to design, implement, and enforce
  • Organisations kultur och preferenserOrganizational culture and preferences
  • Bästa praxis för branschenIndustry best practices
  • Ansvaret för en säkerhets risk som är tilldelad till lämpliga affärs intressenter som är ansvariga för andra risker och affärs resultat.Accountability of security risk assigned to appropriate business stakeholders who are accountable for other risks and business outcomes.

Säkerhets standarder definierar de processer och regler som stöder körning av säkerhets principen.Security standards define the processes and rules to support execution of the security policy.

ModerniseringModernization

Trots att en princip bör vara statisk, bör standarder vara dynamiska och fort löp ande på grund av förändringar i moln teknik, Hot miljö och affärs konkurrens i liggande miljö.While policy should remain static, standards should be dynamic and continuously revisited to keep up with pace of change in cloud technology, threat environment, and business competitive landscape.

På grund av den här höga ändrings takten bör du hålla ett nära öga på hur många undantag som görs eftersom detta kan tyda på att du behöver justera standarder (eller principer).Because of this high rate of change, you should keep a close eye on how many exceptions are being made as this may indicate a need to adjust standards (or policy).

Säkerhets standarder bör innehålla vägledning som är speciell för införande av molnet, till exempel:Security standards should include guidance specific to the adoption of cloud such as:

  • Säker användning av moln plattformar för att vara värd för arbets belastningarSecure use of cloud platforms for hosting workloads
  • Säker användning av DevOps-modellen och inkludering av moln program, API: er och tjänster i utvecklingSecure use of DevOps model and inclusion of cloud applications, APIs, and services in development
  • Använda identitets gräns kontroller för att komplettera eller ersätta kontroller för nätverks perimeterUse of identity perimeter controls to supplement or replace network perimeter controls
  • Definiera strategi för segmentering innan du flyttar dina arbets belastningar till IaaS-plattformenDefine your segmentation strategy prior to moving your workloads to IaaS platform
  • Tagga och klassificera känsligheten för till gångarTagging and classifying the sensitivity of assets
  • Definiera process för att utvärdera och se till att dina till gångar är konfigurerade och säkra på rätt sättDefine process for assessing and ensuring your assets are configured and secured properly

Grupp kompositioner och viktiga relationerTeam composition and key relationships

Säkerhets principer och standarder för molnet tillhandahålls ofta av följande typer av roller.Cloud security policy and standards are commonly provided by the following types of roles. Organisationens policy bör informeras (och informeras av):The organizational policy should inform (and be informed by):

  • Säkerhets arkitekturerSecurity architectures
  • Hanterings team för efterlevnad och riskhanteringCompliance and risk management teams
  • Affär senhets ledarskap och företrädareBusiness unit's leadership and representatives
  • InformationsteknikInformation technology
  • Granskning och juridiska teamAudit and legal teams

Principen bör finjusteras baserat på många indata/krav från hela organisationen, inklusive men inte begränsat till de som visas i säkerhets översikts diagrammet.The policy should be refined based on many inputs/requirements from across the organization, including but not restricted to those depicted in the security overview diagram.

Nästa stegNext steps

Granska funktionen i ett Cloud Security Operations Center (SOC).Review the function of a cloud security operations center (SOC).