软件即服务(SaaS)提供商继续面临日益增长的客户需求,以获得证明对安全性承诺的安全遵从性认证, 隐私, 保密及其他. 当试图获得这些认证时,一个主要的挑战是在管理时间和成本的同时理解每个框架需要什么. 跨国组织面临的另一个障碍是如何应对日益复杂的地质合规认证. 由于每个国家或地区都有自己的信息安全要求和做法(例如.g., 澳大利亚信息安全注册评估员计划(IRAP), 欧盟云计算行为准则, 德国BSI云计算合规性控制目录[C5], 日本的信息系统安全管理和评估计划(ISMAP), 西班牙国家安全局(Esquema Nacional de Seguridad), 越来越多的人期望澳门赌场官方下载在获得或继续获得进入这些特定市场的权限之前,遵守几个信息安全标准. 在很多情况下, 这些合规性认证不再值得拥有, 而是做生意的必需品. 每个标准都与系统和组织控制(SOC) 2报告和/或国际标准化组织(ISO)标准ISO 27001有共同之处, 但也有其固有的本土主义特征,使其与众不同.
单独追求每个国家和国际认证会导致不断进行演练的重复循环, 面试, 测试和证据要求(1).e.、审计). 当团队进行这些评估时, 在某些领域和控制上缺乏明确的责任和所有权经常发生, 导致不必要的时间和工程资源的浪费,并最终导致遵从性疲劳. 为了解决这个问题, 云服务提供商(csp)应该考虑创建一个通用的云控制框架(CCF),这是一种中央信息安全合规和认证方法,可以包括SOC 2等认证, ISO 27001, C5, 实体, ISMAP, IRAP, 和更多的. 一个通用的CCF,比如思科云控制框架,1 帮助工程团队加速大多数认证工作,以有效地获得市场准入,同时从整体上提高他们的安全状态.
一个通用的CCF…帮助工程团队加速大多数认证工作,以有效地获得市场准入,同时从整体上提高他们的安全状况.
中央CCF可被视为针对当今市场上复杂的合规标准的一站式服务. 拥有一个中央CCF可以帮助各种产品工程团队满足他们的安全遵从性需求,并了解每个遵从性认证所需的工作水平. 拥有许多不同类型SaaS产品的csp在孤岛中工作,并按表面价值评估每个安全框架,这通常会导致工程团队的混乱和倦怠. 拥有一个通用的CCF提供了一个清晰和中心的框架,团队可以继续咨询. 加上对控制责任的清晰描述, 这有助于工程团队了解他们在每个认证的遵从性和安全性方面的责任和角色. 除了帮助团队解读各种遵从性需求之外, CCF可以清楚地说明不同认证之间的控制重叠, 哪一种会导致较少的控制集冗余.
中央CCF也可以变得灵活, 随着市场上出现和发展的新版本的认证要求,能够坚持并解决这些要求. 这可以通过使CCF拥有版本历史记录,同时捕获新认证和/或现有认证的所有更改来实现, 从而减少了不同团队在发布新版本时试图理解每个框架差异的维护. 相反,团队可以简单地引用CCF来了解所有框架的更改和调整.
拥有CCF的另一个好处是中央安全工具的标准化. 如果CSP可以跨不同的工程团队正确地优化和实现中央安全工具, 它可以减少工程团队的操作维护开销. 例如, 而不是每个团队购买或构建自己的漏洞评估工具并运行自己的漏洞评估, 为什么不将所有工作合并到一个中心工具中,以便所有团队从一个中心存储库中使用? 通过整合和维护一组中央安全工具, csp可以简化并提供对安全事件的快速响应, 从而提高组织的遵从性和安全性.
拥有一个交叉遵从性控制框架是任何澳门赌场官方下载理解地理遵从性难题的重要工具. CCF不是一劳永逸的解决方案, 而是, 是主动的, 不断发展, 和自适应解决方案,以帮助csp获得安全认证. 如果设计正确, 拥有中央CCF的组织可以简化市场准入并提高安全性.
尾注
1 思科, 思科云控制框架 (CCF) V2正式发布.美国,2022年
詹姆斯黄
是思科全球云合规团队的高级经理吗. 他负责思科云产品认证的商业和联邦执行. 黄在隐私方面有经验, 全球云安全, 信任与遵从, 以及风险管理,以减轻行业安全挑战,同时实现跨各个全球市场的市场准入. 在加入思科之前,他是Ernst的高级风险顾问 & 年轻的.