Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A cégirányítási csapat üzembe helyezése után a következő lépés a szervezet felhőhasználatával kapcsolatos összes jelentős kockázat azonosítása és értékelése. Ebben a kontextusban a "kockázat" bármilyen lehetséges nemkívánatos eredmény, például biztonsági incidens, megfelelőségi szabálysértés, szolgáltatáskimaradás vagy költségtúllépés, amely a felhő használatából eredhet. A kockázatok felmérésével a szabályozási csapat a következő lépésben a vonatkozó szabályzatok kialakításához szükséges információkat szerzi be. Ezt a kockázatértékelést először a szabályozási beállítás során kell elvégezni, majd rendszeresen újra kell ellenőrizni, és minden olyan esetben, amikor jelentős változások történnek, például új projekteket, új fenyegetéseket, auditokat és incidenseket.
1. A felhőkockázatok azonosítása
Először összeállítja a szervezet által a felhőben felmerülő kockázatok átfogó listáját. A rendkívül szűkebb forgatókönyvek helyett az általános alkalmazhatóság kockázataira összpontosítson. A nyilvánvaló magas prioritású kockázatokkal kezdhet, és idővel bővítheti a listát.
Az összes felhőegység listázása. Sorolja fel az összes felhőeszközt, hogy átfogóan azonosíthassa a hozzájuk kapcsolódó kockázatokat. Az Azure Portal, az Azure Resource Graph, a PowerShell és az Azure CLI használatával például megtekintheti az előfizetés összes erőforrását.
Felhőkockázatok felderítése. Stabil kockázati katalógus létrehozása a felhőszabályozási szabályzatok irányításához. A gyakori módosítások elkerülése érdekében az általános felhőkockázatokra összpontosítson, ne egy adott számítási feladatra jellemző kockázatokra. Kezdje a magas prioritású kockázatokkal, és dolgozzon ki egy átfogóbb listát az idő függvényében. A kockázatok gyakori kategóriái a szabályozási megfelelőség, a biztonság, a műveletek, a költségek, az adatok, az erőforrások és az AI. A szervezet számára egyedi kockázatokat is tartalmazhat, például nem Microsoft-szoftvereket, partner- vagy szállítói támogatást, valamint belső felhőkompetenciákat.
Vonja be a főbb érdekelt feleket. Különböző szervezeti szerepkörökből (informatikai, biztonsági, jogi, pénzügyi és üzleti egységek) származó adatok összegyűjtése az összes lehetséges kockázat figyelembe viteléhez. Ez az együttműködési megközelítés holisztikus képet biztosít a felhővel kapcsolatos kockázatokról.
Ellenőrizze a kockázatokat. Vegye fel a kapcsolatot külső szakértőkkel, akik alapos ismeretekkel rendelkeznek a felhőkockázat-azonosításról a kockázati lista áttekintéséhez és érvényesítéséhez. Ezek a szakértők lehetnek Microsoft-fiókcsapatok vagy speciális Microsoft-partnerek. Szakértelmük segít megerősíteni az összes lehetséges kockázat azonosítását, és javítja a kockázatértékelés pontosságát.
Az Azure megkönnyítése: A felhőkockázatok azonosítása
Az alábbi útmutató segít azonosítani a felhőkockázatokat az Azure-ban. Mintául szolgál a felhőszabályozás fő kategóriáihoz. Az Azure segíthet automatizálni a kockázatkeresési folyamat egy részét. Olyan Azure-eszközöket használhat, mint az Azure Advisor, a Microsoft Defender for Cloud, az Azure Policy, az Azure Service Health és a Microsoft Purview.
A jogszabályi megfelelőség kockázatainak azonosítása. A felhőadatokra és -műveletekre vonatkozó jogi és szabályozási keretrendszerekkel való meg nem felelés kockázatainak azonosítása. Ismerje meg az iparág szabályozási követelményeit. A kezdéshez használja az Azure megfelelőségi dokumentációját .
Biztonsági kockázatok azonosítása. Azonosíthatja azokat a fenyegetéseket és biztonsági réseket, amelyek veszélyeztetik a felhőkörnyezet bizalmasságát, integritását és rendelkezésre állását. Az Azure használatával felmérheti a felhőbeli biztonsági helyzetet , és észlelheti az identitáskockázatokat.
Költségkockázatok azonosítása. A felhőerőforrások költségeivel kapcsolatos kockázatok azonosítása. A költségekkel kapcsolatos kockázatok közé tartozik a túlterjedés, az alulépítés, az alulhasználat, valamint az adatátviteli díjak vagy a szolgáltatás skálázásából eredő váratlan költségek. Költségelemzéssel azonosíthatja a költségkockázatot. Az Azure díjszabási kalkulátorával megbecsülhet költségeket az Azure-ban. Az aktuális erőforrások költségeinek elemzése és előrejelzése. Azonosíthatja a felhőköltségek váratlan változásait .
A műveleti kockázatok azonosítása. Azonosíthatja a felhőműveletek folytonosságát veszélyeztető kockázatokat, például az állásidőt és az adatvesztést. Az Azure-eszközökkel azonosíthatja a megbízhatóságot és a teljesítményt érintő kockázatokat.
Adatkockázatok azonosítása. A felhőbeli adatkezeléssel kapcsolatos kockázatok azonosítása. Fontolja meg az adatok helytelen kezelését és az adatéletciklus-kezelés hibáit. Az Azure-eszközökkel azonosíthatja az adatkockázatokat , és feltárhatja a bizalmas adatokkal kapcsolatos kockázatokat.
Erőforrás-kezelési kockázatok azonosítása. A felhőerőforrások kiépítéséből, üzembe helyezéséből, konfigurálásából és felügyeletéből eredő kockázatok azonosítása. A működési kiválóság kockázatainak azonosítása.
AI-kockázatok azonosítása. Rendszeresen piros csapatnyelv-modellek. Az AI-rendszerek manuális tesztelése és a manuális tesztek kiegészítése AI-hez való automatizált kockázatazonosító eszközökkel. Keressen gyakori emberi-AI-interakciós hibákat. Fontolja meg az AI-rendszerek használatával, hozzáférésével és kimenetével kapcsolatos kockázatokat. Tekintse át a felelős AI és a felelős AI-érettségi modell elveit.
2. Felhőkockázatok elemzése
Rendeljen hozzá minőségi vagy mennyiségi rangsort az egyes kockázatokhoz, hogy súlyosságuk alapján rangsorolhassa őket. A kockázat priorizálása egyesíti a kockázat valószínűségét és a kockázat hatását. A mennyiségi kockázatelemzést részesítse előnyben a minőségi helyett a pontosabb kockázat-rangsorolás érdekében. A felhőkockázatok elemzéséhez kövesse az alábbi stratégiákat:
Kockázat valószínűségének kiértékelése
Becsülje meg az évente előforduló egyes kockázatok mennyiségi vagy minőségi valószínűségét. Százalékos tartományt (0%-100%) használjon az éves, mennyiségi kockázat valószínűségének ábrázolásához. Az alacsony, közepes és magas a minőségi kockázat valószínűségének gyakori címkéi. A kockázat valószínűségének kiértékeléséhez kövesse az alábbi ajánlásokat:
Nyilvános teljesítménytesztek használata. Olyan jelentésekből, tanulmányokból vagy szolgáltatásiszint-szerződésekből (SLA-kból) származó adatokat használjon, amelyek dokumentálják a gyakori kockázatokat és azok előfordulási gyakoriságát.
Előzményadatok elemzése. Tekintse meg a belső incidensjelentéseket, naplókat és egyéb rekordokat, hogy megállapíthassa, milyen gyakran történtek hasonló kockázatok a múltban.
A vezérlés hatékonyságának tesztelése. A kockázatok minimalizálása érdekében értékelje a jelenlegi kockázatcsökkentési ellenőrzések hatékonyságát. Fontolja meg a vezérlőtesztelési eredmények, a naplózási eredmények és a teljesítménymetrikák áttekintését.
Kockázati hatás meghatározása
Becsülje meg a szervezetre gyakorolt kockázat mennyiségi vagy minőségi hatását. A pénzügyi összeg a mennyiségi kockázat hatásának gyakori módja. Az alacsony, a közepes és a magas a minőségi kockázatra gyakorolt hatás gyakori címkéi. A kockázat hatásának meghatározásához kövesse az alábbi javaslatokat:
Pénzügyi elemzést végezhet. Becsülje meg a kockázat esetleges pénzügyi veszteségét olyan tényezők figyelembe adásával, mint az állásidő költsége, a jogi díjak, a bírságok és a szervizelési erőfeszítések költsége.
Jó hírnévre vonatkozó hatástanulmány készítése. Hasonló incidensekre vonatkozó felmérések, piackutatások vagy előzményadatok használatával megbecsülheti a szervezet hírnevére gyakorolt lehetséges hatásokat.
Működési zavarok elemzése. Az üzemzavar mértékének felmérése az állásidő, a termelékenység csökkenésének és az alternatív megoldások költségeinek becslésével.
Jogi következmények felmérése. Becsülje meg a meg nem felelőséggel vagy megszegéssel kapcsolatos esetleges jogi költségeket, bírságokat és szankciókat.
Kockázati prioritás kiszámítása
Rendeljen hozzá egy kockázati prioritást az egyes kockázatokhoz. A kockázati prioritás a kockázathoz rendelt fontosság, így ön tudja, hogy a kockázatot magas, közepes vagy alacsony sürgősséggel kell-e kezelnie. A kockázati hatás fontosabb, mint a kockázat valószínűsége, mivel a nagy hatású kockázatnak tartós következményei lehetnek. A vállalatirányítási csapatnak egységes módszertant kell használnia a vállalaton belül a kockázatok rangsorolásához. A kockázati prioritás kiszámításához kövesse az alábbi javaslatokat:
A minőségi értékelésekhez használjon kockázati mátrixot. Hozzon létre egy mátrixot, amely minőségi kockázati prioritást rendel az egyes kockázatokhoz. A mátrix egyik tengelye a kockázat valószínűségét (magas, közepes, alacsony) jelöli, a másik pedig a kockázati hatásokat (magas, közepes, alacsony). Az alábbi táblázat egy kockázati mintamátrixot tartalmaz:
Alacsony hatás Közepes hatás Nagy hatás Kis valószínűség Nagyon alacsony Közepesen alacsony Közepesen magas Közepes valószínűség Low Közepes High Nagy valószínűség Közepes High Nagyon magas Képletek használata kvantitatív értékelésekhez. Alapértékként használja a következő számítást: kockázati prioritás = kockázat valószínűsége x kockázati hatás. Szükség szerint módosítsa a változók súlyát a kockázati prioritás eredményeinek testreszabásához. Ezzel a képlettel például nagyobb hangsúlyt fektethet a kockázati hatásra: kockázati prioritás = kockázat valószínűsége x (kockázati hatás x 1,5).
Kockázati szint hozzárendelése
Az egyes kockázatokat három szint egyikére kategorizálja: fő kockázatok (1. szint), részriskék (2. szint) és kockázati tényezők (3. szint). A kockázati szintek lehetővé teszik a megfelelő kockázatkezelési stratégia megtervezését és a jövőbeli kihívások előrejelzését. Az 1. szintű kockázatok veszélyeztetik a szervezetet vagy a technológiát. A 2. szintű kockázatok az 1. szintű kockázat alá esnek. A 3. szintű kockázatok olyan trendek, amelyek egy vagy több 1. vagy 2. szintű kockázattal járhatnak. Fontolja meg például az adatvédelmi törvények (1. szint), a nem megfelelő felhőbeli tárolókonfigurációk (2. szint) és a szabályozási követelmények összetettségének növelését (3. szint).
Kockázatkezelési stratégia meghatározása
Minden kockázat esetében azonosítsa a megfelelő kockázatkezelési lehetőségeket, például a kockázat elkerülését, mérséklését, átvitelét vagy elfogadását. Adja meg a választás magyarázatát. Ha például úgy dönt, hogy elfogad egy kockázatot, mert az enyhítési költsége túl költséges, akkor ezt az érvelést dokumentálnia kell a jövőbeni hivatkozáshoz.
Kockázattulajdonosok hozzárendelése
Minden kockázathoz jelöljön ki egy elsődleges kockázati tulajdonost. A kockázat tulajdonosa felelős az egyes kockázatok kezeléséért. Ez a személy koordinálja a kockázatkezelési stratégiát minden érintett csapatnál, és a kockázat eszkalálásának kiindulási pontja.
3. Felhőkockázatok dokumentálása
Dokumentálja az egyes kockázatokat és a kockázatelemzés részleteit. Hozzon létre egy kockázatlistát (kockázati nyilvántartást), amely tartalmazza a kockázatok azonosításához, kategorizálásához, rangsorolásához és kezeléséhez szükséges összes információt. A kockázatdokumentáció szabványosított nyelvének fejlesztése, hogy mindenki könnyen megérthesse a felhőkockázatokat. Vegye figyelembe az alábbi elemeket:
| szakterület | Description |
|---|---|
| azonosító | Egyedi azonosító minden kockázathoz. Ez biztosítja a nyomon követhetőséget és az egyszerű referenciát. Használjon szekvenciális címkét (például R01, R02); növeli a sorozatot, amikor kockázatot ad hozzá, és réseket hagy a kockázatok eltávolításakor vagy csak szükség esetén újraszámozáskor. |
| Felügyeleti állapot | A kockázat aktuális állapota. Egyértelművé teszi, hogy a kockázat beavatkozást igényel-e. Használja a "Megnyitás" vagy a "Zárt" lehetőséget, és a módosításkor azonnal frissítse az állapotot. |
| Kategória | A kockázatot osztályozó címke. Csoportosítja a célzott irányítás és jelentéskészítés kockázatait. Használjon olyan kategóriákat, mint a jogszabályi megfelelőség, a biztonság, a költség, az üzemeltetés, az AI vagy az erőforrás-kezelés. |
| Description | A kockázat rövid, konkrét leírása. Ismerteti a fenyegetést, az érintett eszközöket és a hatókört. Adja meg a kockázatot egy mondatban, és adja meg az okot vagy a belépési pontot. |
| Valószínűség | A kockázat bekövetkezésének éves valószínűsége. Támogatja a mennyiségi rangsorolást és összehasonlítást. Használjon százalékot (0%–100%) vagy minőségi címkét (Alacsony, Közepes, Magas). |
| Hatás | A kockázat bekövetkezése esetén a szervezetre nézve a következmény. Tájékoztatja a szervizelési erőfeszítéseket és a költségbecslést. Használjon pénzügyi becslést vagy minőségi címkét (alacsony, közepes, magas) és dokumentálja a becslés alapját. |
| Priority | A valószínűség és a hatás együttes számított súlyossága. Irányítja a kezelés és az erőforrás-kiosztás sorrendjét. Használjon dollárösszeget vagy minőségi címkét, és jegyezze fel a számítási módszert (például valószínűségi × hatás). |
| szint | A kockázati réteg a kockázati hierarchiában. Meghatározza az eszkalációs útvonalakat és a szabályozási hatókört. Használjon nagy fenyegetést (1. szint), al-rizikót (2. szint) vagy kockázati tényezőt (3. szint). |
| Felügyeleti stratégia | A kockázat kezeléséhez választott megközelítés. Meghatározza az elsődleges műveletet és a várt eredményt. Használjon olyan műveleteket, mint a Mérséklés, Elfogadás, Elkerülés vagy Átvitel, és magyarázza el a választás indokát. |
| Irányítási kényszerítés | A stratégiát megvalósító vezérlők és folyamatok. Biztosítja a stratégia végrehajtását, és hatékony marad. Konkrét technikai vezérlők, szabályzatok, figyelés és felülvizsgálat gyakorisága. |
| Tulajdonos | A kockázat kezeléséért felelős személy vagy szerepkör. Felelősségi körrel és egyetlen kapcsolattartási ponttal rendelkezik. Jegyezze fel a tulajdonos szerepkörét vagy nevét, kapcsolattartási adatait és eszkalációs utasításait. |
| Lezárás dátuma | A felügyeleti stratégia alkalmazásának vagy a kockázat bezárásának céldátuma. Határidőt hoz létre az elszámoltathatóság és a nyomon követés számára. Állítson be egy dátumot, és frissítse azt, amikor a kockázat bezárul vagy a terv megváltozik. |
További információkért lásd a kockázati lista példáját.
4. Felhőkockázatok közlése
Egyértelműen közvetítse az azonosított felhőkockázatokat a vezető szponzornak és a vezetői szintű felügyeletnek. A cél annak biztosítása, hogy a szervezet rangsorolja a felhőkockázatokat. Rendszeres frissítéseket biztosít a felhőkockázat-kezelésről, és kommunikálhat, ha további erőforrásokra van szüksége a kockázatok kezeléséhez. Olyan kultúra előmozdítása, amelyben a felhőkockázatok és a szabályozás kezelése a napi műveletek része.
5. Felhőkockázatok áttekintése
Tekintse át az aktuális felhőkockázati listát, és győződjön meg arról, hogy az érvényes és pontos. A felülvizsgálatoknak rendszeresnek kell lenniük, és adott eseményekre is reagálva kell lenniük. Szükség szerint fenntarthatja, frissítheti vagy eltávolíthatja a kockázatokat. A felhőkockázatok áttekintéséhez kövesse az alábbi javaslatokat:
Rendszeres értékelések ütemezése. Állítson be ismétlődő ütemezést a felhőkockázatok ( például negyedéves, féléves vagy éves) áttekintéséhez és értékeléséhez. Olyan felülvizsgálati gyakoriságot talál, amely a legjobban megfelel a személyzet rendelkezésre állásának, a felhőkörnyezet változásainak gyakoriságának és a szervezeti kockázattűrésnek.
Eseményalapú felülvizsgálatok végzése. Tekintse át a kockázatokat adott eseményekre adott válaszként, például egy kockázat sikertelen megelőzésére. Fontolja meg a kockázatok áttekintését új technológiák bevezetésekor, az üzleti folyamatok módosításakor és az új biztonsági fenyegetések felderítésében. Fontolja meg azt is, hogy mikor változik a technológia, a jogszabályi megfelelőség és a szervezeti kockázattűrés.
Tekintse át a felhőszabályozási szabályzatokat. A felhőszabályozási szabályzatok megtarthatók, frissíthetők vagy eltávolíthatók az új, meglévő vagy elavult kockázatok kezelése érdekében. Szükség szerint tekintse át a felhőszabályozási szabályzatot és a felhőszabályozási érvényesítési stratégiát. Ha eltávolít egy kockázatot, értékelje ki, hogy a hozzá társított felhőszabályozási szabályzatok továbbra is relevánsak-e. Kérje meg az érdekelt feleket, hogy távolítsa el a felhőszabályozási szabályzatokat, vagy frissítse a szabályzatokat, hogy új kockázattal társítsák őket.
Példa kockázati listára
Az alábbi táblázat egy kockázati lista, más néven kockázati nyilvántartás. A példát a szervezet Azure-felhőkörnyezetének adott igényeihez és környezetéhez igazíthatja.
| Kockázati azonosító | Kockázatkezelési állapot | Kockázati kategória | Kockázat leírása | Kockázat valószínűsége | Kockázati hatás | Kockázati prioritás | Kockázati szint | Kockázatkezelési stratégia | Kockázatkezelési kényszerítés | Kockázat tulajdonosa | Kockázatlezárás dátuma |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Nyitott | Jogszabályi megfelelőség | Bizalmas adatkövetelményeknek való megfelelés elmulasztása | 20% VAGY közepes | 100 000 USD vagy magas | 20 000 USD vagy magas | 2. szint | Mitigate | Bizalmas adatmonitorozáshoz használja a Microsoft Purview-t. Megfelelőségi jelentéskészítés a Microsoft Purview-ban. |
Megfelelőségi vezető | 2024-04-01 |
| R02 | Nyitott | Biztonság | Felhőszolgáltatásokhoz való jogosulatlan hozzáférés | 30% VAGY Magas(abb) | 200 000 USD vagy magas | $60,000 VAGY Nagyon magas | 1. szint | Mitigate | Microsoft Entra ID többtényezős hitelesítés (MFA). A Microsoft Entra ID Governance havi hozzáférési felülvizsgálatai. |
Biztonsági vezető | 2024-03-15 |
| R03 | Nyitott | Biztonság | Nem biztonságos kódkezelés | 20% VAGY közepes | 150 000 USD vagy magas | 30 000 USD vagy magas | 2. szint | Mitigate | Definiált kódtárat használjon. Használjon karanténmintát nyilvános könyvtárakhoz. |
Fejlesztői vezető | 2024-03-30 |
| R04 | Nyitott | Költség | A túlméretezés és a figyelés hiánya miatt felmerülő túlköltés a felhőszolgáltatásoknál. | 40% vagy magas | 50 000 USD vagy közepes | 20 000 USD vagy magas | 2. szint | Mitigate | Költségvetések és riasztások beállítása számítási feladatokhoz. Tekintse át és alkalmazza az Advisor költségjavaslatait. |
Költségvezető | 2024-03-01 |
| R05 | Nyitott | Operations | Szolgáltatáskimaradás az Azure-régió leállása miatt | 25% vagy közepes | 150 000 USD vagy magas | 37 500 USD vagy magas | 1. szint | Mitigate | A kritikus fontosságú számítási feladatok aktív-aktív architektúrával rendelkeznek. Más számítási feladatok aktív-passzív architektúrával rendelkeznek. |
Műveleti vezető | 2024-03-20 |
| R06 | Nyitott | Adat | Bizalmas adatok elvesztése a nem megfelelő titkosítás és az adatok életciklusának kezelése miatt | 35% / Magas szint | 250 000 USD vagy magas | $87.500 VAGY Nagyon magas | 1. szint | Mitigate | Titkosítás alkalmazása átvitelkor és nyugalmi állapotban. Adatéletciklus-szabályzatok létrehozása az Azure-eszközökkel. |
Adatvezető | 2024-04-10 |
| R07 | Nyitott | Erőforrás-kezelés | A felhőbeli erőforrások helytelen konfigurálása jogosulatlan hozzáféréshez és adatexpozícióhoz vezet | 30% VAGY Magas(abb) | 100 000 USD vagy magas | $30.000 VAGY Nagyon magas | 2. szint | Mitigate | Használj Infrastruktúrát mint kódot (IaC). Címkézési követelmények kényszerítése az Azure Policy használatával. |
Erőforrás vezető | 2024-03-25 |
| R08 | Nyitott | AI | A nemprezentatív betanítási adatok miatt elfogult döntéseket hozó AI-modell | 15% VAGY alacsony | 200 000 USD vagy magas | 30 000 USD vagy közepesen magas | 3. szint | Mitigate | Használjon tartalomszűrő enyhítési technikákat. A vörös csapat AI-modelljei havonta. |
AI vezető | 2024-05-01 |