雲端安全性原則和標準的功用

安全性原則和標準小組會撰寫、核准及發佈安全性原則和標準，以引導組織內部的安全性決策。

原則和標準應該要：

• 以足夠詳細的方式表達組織的安全性策略，以引導組織中各小組的決策
• 提高整個組織的生產力，同時降低組織的商務與任務風險

安全性原則應反映出與組織安全性策略和風險承受度一致的長期持續性目標。 原則應該總是彰顯出：

• 法規合規性需求和目前的合規性狀態 (已符合的需求、已承受的風險等等。)
• 對目前狀態與實際可能設計、實施和執行的項目進行架構性評估
• 組織文化特性和偏好
• 業界最佳做法
• 將安全性風險的責任指派給為其他風險與商務成果負責的適當商務利害關係人。

安全性標準定義處了支援安全性原則施行的程序與規則。

現代化

雖然原則應該保持靜態不變，但標準則應該是動態的且持續地加以回顧，以隨時掌握雲端技術、威脅環境和商務競爭環境的變化步調。

由於這種高變動率，您應該仔細留意眼下有多少例外狀況，因為這可能表示您需要對標準 (或原則) 進行調整。

安全性標準應該包含針對雲端採用的特定指導，例如：

• 如何安全使用雲端平台來託管工作負載
• 如何在開發期間安全地使用 DevOps 模型，以及如何將雲端應用程式、API 和服務納入使用
• 使用身分識別周邊控制項來補充或取代網路周邊控制項
• 在將您的工作負載移至 IaaS 平台之前，定義分割策略
• 標記和分類資產的敏感度
• 定義評估和確保您的資產已正確且安全設定的具體程序

小組構成要素和重要關聯性

雲端安全性原則和標準通常會由下列角色類型提供。 組織原則應該要通知給 (並由他們來通知) 下列單位：

• 安全性結構
• 合規性和風險管理小組
• 商務單位的領導階層和代表
• 資訊科技
• 稽核與法律小組

應根據組織中的許多輸入/需求來調整原則，包括但不限於安全性概觀圖表中所述的原則。

後續步驟

請參閱雲端安全性作業中心 (SOC) 的功能。