返回
云应用的IT风险审计清单

云应用的IT风险审计清单

ID:43379236

大小:28.00 KB

页数:3页

时间:2019-09-30

云应用的IT风险审计清单_第1页
云应用的IT风险审计清单_第2页
云应用的IT风险审计清单_第3页
资源描述:

《云应用的IT风险审计清单》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、云应用的・T风险审计清单广泛H迅速兴起的云计算技术及其商业化应用正在快速改变并重塑众多金业关键内部职能部门的运作方式。这些职能包括采购、信息技术、风险管理、企业治理结构、合规遵循、审计以及其他等等。那些反对或消极应付云应用的部门正在而临失去部门1'1丄权和被企业管理核心边缘化的风险。公共云应用的核心是信任。首先,企业必须确信在启用云应川时,对冇关应川成木、风险、其本身的管理以及潜在的不利之处己经充分了解。其次,金业必须确信云服务的提供者做出了恰当的承诺,并确保服务承诺L1经包括在结构周蜜和双方责任义务相互平衡的商业介同中。如果在选择和实施金业云应用时仍冇不足之处存在,作为企业的首

2、席财务官必须掌握实际状况并采取正确的行动。如果在选择和实施企业云应用项冃时,在有关风险、审计和治理结构力血存在某些不足,首席财务官必须充分掌握实际状况并采収纠正措施。正如飞机的小裂缝会在压力卜•快速蔓延并破裂,而富有经验的飞行机械师知道如何发现这些小的裂缝和隐患。那么,作为首席财务官,你能发现云应用中存在的类似隐患吗?毕马威在其《2012审计业务报告》中,将IT风险与新兴技术列为审计委员会的第二关注点,第一则是企业治理过程、控制和风险管理(IT风险项在上年度关注点排列中仅列第六)。信息保密与网络安全排名第四,合法合规性则由2011年的第三降至2012年的第七。(以上排名由140名

3、审计委员会成员投票提出)对于企业的首席财务官和董爭会成员来说,上述业务排名的变化更应视为•种警报…■为什么审计师们把IT风险和新兴技术列为关注重点?在管理者推动金业云应用进程时,影响决筆的是否首先是降低成本、缩短IT项口实施时间和推动革新的优势,而审计已经被置之脑后了?云应用的优势已经消除了项目实施木身的风险了吗?冋到飞机隐患的例JS每个航班起飞Z前,都有苛门人员进行全面检查,这就像是由机械维护人员、飞行机组和地勤人员进行的一种形式的审计。对云应用而言,许多企业的云应用项目就是飞行中满载乘客的航班,然而起飞前的检查却漫不经心。作为对审计和合规性负冇被问责责任的首席财务官,将如何确

4、保“企业航班安全地E行于云端“?以下是有关云应用的七点关键审计清单:1、确保企业高管能分清什么是云技术,什么不是在提供IT服务的商业报价文件屮,总有许多文字读起来云山雾罩,市ffi±IT服务提供商常用的"按进度付款〃的服务方式就是这样的一个“云团〃。与此相对,简单如上线门列络销售或使用了GMAIL肯定不意味着组织已经实现了云应用。确保决策者掌握云应用的本质,并恰当知悉了项冃的可行性,是在已知成本、风险和合规性均有限制的悄况卜•,提高云应用项目成功机率和发现其价值的最佳方式。对于决策者而言,这才是头等大事,远远胜过超过出席什么销售商的商务宴会。2、了解云审计的最新发展动态了解有关云

5、的审计、管理与合规性信息的最新发展,建立-•种健康的倾听策略。独立的笫二方组织,如云安全联盟(CloudSecurityAlliance)>全美标准与技术协会(NationalInstituteofStandardsandTechnology)都是可供利用学习的报佳外部资源。3、规划云应用的合规性框架辨明公司启用云生态环境前后的合规、合法和遵从性的不同。充分识别了这种并距和不同之后,就可以着手改善现状。哪些数据可以触及,哪些不可以在法律法规中都有明文规定,尤莫是涉及隐私的部分,更要倍加小心。比如美国公司的海外分支机构使用部署J:美国的云服务器,或者使用美国付公司所有但部署于美国境

6、外的服务器时,其数据的使用需要遵守不同国家的法定规定。而受《欧盟数据保护法》的影响,跨国云应用的进程也许会多次为法律所牵绊,不断修正前行。冃前最广为人知的合规性法规包括萨班斯法案404条款(SOX404)和美国注册会计师协会审计准则公吿第70号审计标准(SAS70),以及其后续的美国注册会计师协会鉴证业务准则第16号认证(SSAE16)和国际会辻师委员会下属的国际审计和质呈标准委员会第3402号认证(ISAE3402),均已为首席财务官们所熟知。英他个人信息保护的指导条款还冇国际标准化组织的ISO/IECWDTS27000信息安全管理体系,其ISO/IECWDTS27017条款是

7、专门针对云服务的信息安全控制,口前该条款内容仍在完善与发展之中。另有一些专门针对运营与更好进行云环境管治的新兴技术标准,比如ISO/IECDIS17826之云数据管理接口标准(CloudDataManagementInterface,CDMI)。启用云技术的组织要确保I'l身或I'l己的受托方了解这些与纟R织运营相关的标准,以保证云M用项目的顺利实施。4、完善的云项目管理选择合适的云服务提供商,准确并公开授权具开展相关业务,同时确保双方有关风险、成本和项目管理的责任得到介理明确地

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。