毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

云應(yīng)用的IT風(fēng)險審計清單

廣泛且迅速興起的云計算技術(shù)及其商業(yè)化應(yīng)用正在快速改變并重塑眾多企業(yè)關(guān)鍵內(nèi)部職能部門的運(yùn)作方式。這些職能包括采購、信息技術(shù)、風(fēng)險管理、企業(yè)治理結(jié)構(gòu)、合規(guī)遵循、審計以及其他等等。那些反對或消極應(yīng)付云應(yīng)用的部門正在面臨失去部門自主權(quán)和被企業(yè)管理核心邊緣化的風(fēng)險。 公共云應(yīng)用的核心是信任。首先，企業(yè)必須確信在啟用云應(yīng)用時，對有關(guān)應(yīng)用成本、風(fēng)險、其本身的管理以及潛在的不利之處已經(jīng)充分了解。其次，企業(yè)必須確信云服務(wù)的提供者做出了恰當(dāng)?shù)某兄Z，并確保服務(wù)承諾已經(jīng)包括在結(jié)構(gòu)周密和雙方責(zé)任義務(wù)相互平衡的商業(yè)合同中。如果在選擇和實施企業(yè)云應(yīng)用時仍有不足之處存在，作為企業(yè)的首席財務(wù)官必須掌握實際狀況并采取正確的行動。如果在選擇和實施企業(yè)云應(yīng)用項目時，在有關(guān)風(fēng)險、審計和治理結(jié)構(gòu)方面存在某些不足，首席財務(wù)官必須充分掌握實際狀況并采取糾正措施。 正如飛機(jī)的小裂縫會在壓力下快速蔓延并破裂，而富有經(jīng)驗的飛行機(jī)械師知道如何發(fā)現(xiàn)這些小的裂縫和隱患。那么，作為首席財務(wù)官，你能發(fā)現(xiàn)云應(yīng)用中存在的類似隱患嗎？如今IT風(fēng)險與新興技術(shù)已經(jīng)成為審計委員會的第二大關(guān)注點(diǎn)，第一則是企業(yè)治理過程、控制和風(fēng)險管理，而信息保密與網(wǎng)絡(luò)安全、合規(guī)性排名緊隨其后。對云應(yīng)用而言，許多企業(yè)的云應(yīng)用項目就是飛行中滿載乘客的航班，然而起飛前的檢查卻漫不經(jīng)心，如何確保“企業(yè)航班安全地飛行于云端“？以下是有關(guān)云應(yīng)用的七點(diǎn)關(guān)鍵審計清單： 1、確保企業(yè)高管能分清什么是云技術(shù)，什么不是 在提供IT服務(wù)的商業(yè)報價文件中，總有許多文字讀起來云山霧罩，市面上IT服務(wù)提供商常用的“按進(jìn)度付款”的服務(wù)方式就是這樣的一個“云團(tuán)”。與此相對，簡單上線了網(wǎng)絡(luò)銷售或使用了GMAIL肯定不意味著組織已經(jīng)實現(xiàn)了云應(yīng)用。確保決策者掌握云應(yīng)用的本質(zhì)，并恰當(dāng)知悉了項目的可行性，是在已知成本、風(fēng)險和合規(guī)性均有限制的情況下，提高云應(yīng)用項目成功機(jī)率和發(fā)現(xiàn)其價值的最佳方式。對于決策者而言，這才是頭等大事，遠(yuǎn)遠(yuǎn)勝過超過出席什么銷售商的商務(wù)宴會。 2、了解云審計的最新發(fā)展動態(tài) 了解有關(guān)云的審計、管理與合規(guī)性信息的最新發(fā)展，建立一種健康的傾聽策略。獨(dú)立的第三方組織，如云安全聯(lián)盟（Cloud Security Alliance）、全美標(biāo)準(zhǔn)與技術(shù)協(xié)會（NIST）都是可供利用學(xué)習(xí)的最佳外部資源。 3、規(guī)劃云應(yīng)用的合規(guī)性框架 辨明公司啟用云生態(tài)環(huán)境前后的合規(guī)、合法和遵從性的不同。充分識別了這種差距和不同之后，就可以著手改善現(xiàn)狀。哪些數(shù)據(jù)可以觸及，哪些不可以在法律法規(guī)中都有明文規(guī)定，尤其是涉及隱私的部分，更要倍加小心。比如公司的海外分支機(jī)構(gòu)使用部署于境內(nèi)的云服務(wù)器，或者使用境內(nèi)公司所有但部署于境外的服務(wù)器時，其數(shù)據(jù)的使用需要遵守不同國家的法定規(guī)定。而受《歐盟數(shù)據(jù)保護(hù)法》的影響，跨國云應(yīng)用的進(jìn)程也許會多次為法律所牽絆，不斷修正前行。啟用云技術(shù)的組織要確保自身或自己的受托方了解云計算運(yùn)營相關(guān)的標(biāo)準(zhǔn)，以保證云應(yīng)用項目的順利實施。 4、完善的云項目管理 選擇合適的云服務(wù)提供商，準(zhǔn)確并公開授權(quán)其開展相關(guān)業(yè)務(wù)，同時確保雙方有關(guān)風(fēng)險、成本和項目管理的責(zé)任得到合理明確地分配。沒有恰當(dāng)?shù)呢?zé)權(quán)利區(qū)分的云應(yīng)用方案對于供應(yīng)商而言不啻于天上掉餡餅，他們可能會僅僅滿足企業(yè)當(dāng)前關(guān)注的業(yè)務(wù)需求，而有損于企業(yè)的長遠(yuǎn)利益，從而導(dǎo)致未來的審計變成一場無休無止的扯皮游戲。 5、主動發(fā)現(xiàn)并披露企業(yè)在云應(yīng)用過程中的重大內(nèi)部分岐 審計師將會關(guān)注員工和管理層有關(guān)云應(yīng)用實施的意見分岐。這些不同意見恰是其開展深入調(diào)查的重要線索，有助于發(fā)現(xiàn)云應(yīng)用實施中的“弱點(diǎn)”所在。為避免內(nèi)部不同意見被無理忽視的情況發(fā)生，確保充分的盡職調(diào)查履行助于實現(xiàn)這一目標(biāo)。 6、定期檢查與更新信息安全政策 信息安全政策應(yīng)當(dāng)與組織運(yùn)營的實際情況緊密相關(guān)。如果政策檢查與更新針對的是特定風(fēng)險，并且最近的檢查與更新已經(jīng)有一段時間了，那就應(yīng)盡快實施新一輪的安全政策檢查與更新。 7、知道哪些云技術(shù)可以審計，哪些不可以 全球主要的云服務(wù)提供商都不允許其客戶委托第三方對其提供的云服務(wù)進(jìn)行審計。至少在目前的一段時間內(nèi)，客戶只能信賴服務(wù)提供商的審計程序和合規(guī)性表述。如果企業(yè)與當(dāng)?shù)匾?guī)模較小的云服務(wù)提供商合作，也許有可能允許他們自行委托第三方進(jìn)行審計。需要牢記的是信任是云應(yīng)用的一切，但信任卻是有待證現(xiàn)實驗證的。組織必須讓自身、管理者、客戶、股東及其他利益相關(guān)者清楚地知道，組織是如何選擇、實施、安排和管理云應(yīng)用，是如何降低風(fēng)險并消除未來的不確定因素的。 當(dāng)前的商業(yè)環(huán)境充滿了不確定因素。針對云應(yīng)用減少不確定的方法之一正是有效的審計程序，否則只能完全相信云應(yīng)用的服務(wù)供應(yīng)商?？傊?，站在買方的角度來看，至少應(yīng)該知道本組織的這筆云應(yīng)用投資是否物有所值。