- 資料在哪裡?(Where’s the data?)
不同的國家或地區對於資料保護的法規與規範相當分歧,而且有些法規會限制資料所能存放或流經的地區。 - 誰擁有存取的權限?(Who has access?)
內部攻擊往往導因於鬆散或錯誤的權限管理,了解授權的管理流程與控管機制可作為你判斷的依據。 - 有任何法規上的規範嗎?(What are your regulatory requirements?)
法規擁有絕對的強制性,因此必須了解業務所在地與產業的法規規範,並確認採用雲端服務後可以符合相關的規範。 - 你是否擁有稽核的權力?(Do you have the right to audit?)
- 供應商對於員工的教育訓練計畫。(What type of training does the provider offer their employees?)
人永遠是資訊安全中最脆弱的一個環節,良好的員工教育訓練除了可以減少人為的疏失,更可以增進服務的能量。 - 供應商採用何種資訊分類系統。(What type of data classification system does the provider use?)
了解供應商如何對客戶的資料進行分類,又如何保護這些分類過後的資料。保護不侷限於存放中的資料,更包含保護使用與傳輸中的資料。此外,不同客戶間的資料如何隔離也是必須注意的地方。 - 服務水準協議的內容。(What are the service level agreement (SLA) terms?)
所有的服務事項必須以合約為主,所以服務水準協議的內容必須明確的記載服務的範圍與各項量測數據。 - 供應商長期提供服務的可行性。(What is the long-term viability of the provider?)
為避免日後轉換系統的困擾,應該盡可能找尋能夠長期合作的供應商。因為雲端服務尚屬新興市場,在缺乏足夠的歷史資料以供參考的情況下,慎選供應商顯得更形重要與困難。 - 發生安全事件時的處理方式。(What happens if there is a security breach?)
雖然供應商不斷強調自身系統的安全性,但是雲端服務的系統對駭客而言依舊是一個極具吸引力的目標,更何況沒有任何的系統擁有絕對的安全,所以了解一旦發生資訊安全的問題時供應商將提供哪些協助是相當重要的課題。 - 災難復原與業務持續計畫。(What is the disaster recovery/business continuity plan (DR/BCP)?)
除了了解災難與業務持續計畫的內容外,最重要的是確認其 RTO/RPO 符合你自身業務的需求。
因為雲端運算尚屬新興的業務模式,因此在導入時不管其規模大小都應該審慎評估。除此之外,所有的服務內容應該盡可能以明確的文字記載於合約之內,以保障你身為消費者的權利。
相關連結:
沒有留言:
張貼留言