Функции управления соответствием требованиям по обеспечению безопасности облачных структур

Цель управления соответствием требованиям по обеспечению безопасности облачных структур — убедиться, что организация соответствует нормативным требованиям (и внутренним политикам) и эффективно отслеживает состояние и сообщает о нем.

Модернизация

В облако внесены изменения, касающиеся соответствия требованиями безопасности, в том числе:

  • Требование для проверки состояния соответствия поставщика облачных услуг вашим нормативным требованиям. Эта проверка является находится в совместной ответственности. Дополнительные сведения о том, как эти обязанности различаются для разных облачных типов, см. в разделе о внедрении модели совместной ответственности

  • Руководство по подготовке к внедрению облачного решения: хотя многие нормативные требования были обновлены для соответствия динамической природе облачных служб, некоторые требования пока не отражают эти особенности. Организации должны обновить эти требования в нормативных документах и уметь объяснить эти различия при выполнении упражнений аудита.

  • Установление связей между соответствием требованиям и риском: убедитесь, что организации связывают нарушения требований и исключения с рисками организации для корректного распределения внимания и финансирования актуальных проблем.

  • Отслеживание и отчетность, доступные в облаке: эта функция должна активно использовать программно-определяемую природу облака, так как она обеспечивает полноценную регистрацию данных, данные конфигурации и аналитические сведения, которые повышают эффективность отчетов о соответствии требованиям по сравнению с традиционными локальными подходами.

  • Облачные средства соответствия требованиям доступны для упрощения отчетности о соответствии нормативным требованиям, например Microsoft Purview Диспетчер соответствия требованиям, что может снизить затраты на эту функцию.

Состав команды и основные направления для взаимодействия

Управление соответствием требованиям к обеспечению безопасности облачных решений часто пересекается со следующими тематическими областями:

  • Операции безопасности
  • Эксплуатация ИТ-инфраструктуры
  • Команды управления соответствием требованиям организации/управления рисками
  • Команды по аудиту и юридическому сопровождению
  • Основные руководители компании или их представители

Дальнейшие действия

Изучите роль безопасности людей.