Skip to content

法律、风险和合规

1 明确云环境内部的法律要求和独特风险

1.1 冲突的国际立法

云服务的特性导致物理基础设施、业务运营、客户都受到完全独立、有时还冲突的法律约束,这可能给组织带来合规风险。需要关注以下内容:

  • 版权和知识产权法律
  • 隐私合规所要求的安全控制
  • 数据泄露及其后果-GDPR72小时-监管部门-相关-用户主体
  • 国际进出口法律-加密技术

1.2 评估云计算特有的法律风险

  • 不同的法律要求:根据自身情况与监管沟通并确定需要遵循的法律要求。
  • 不同国家的法律体系和框架差异:考虑不同国家的法律体系差异
  • 冲突的法律:考虑调整组织架构来适应冲突的法律要求

1.3 法律框架和指南

1.经济合作与发展组织 (OECD)

了解

OECD 的隐私基本原则包括:收集限制、数据质量、目的说明、使用限制、安全保障、公开、个人参与、可问责,并在国家隐私战略、数据安全泄露通知、隐私管理计划方面提供了指导方针。

2.亚太经济合作组织(APEC)隐私框架

APEC 隐私框架的基本原则包括:防止伤害、收集限制、通知、个人信息的使用、个人信息的完整性、选择和同意、安全保障、访问和更正、可问责

3.通用数据保护条例 (GDPR)

A.GDPR 中的数据角色
  • 数据主体 (data subject) :已识别或可识别的自然人-用户
  • 数据控制者(data controller):决定个人数据处理目的与方式的任何实体-即所有者
  • 数据处理者(data processor):代表控制者处理个人数据的实体-CSP一般是
  • 以上主要区别是数据是谁采集、谁处理
B.GDPR 原则
  • 合法性、合理性和透明性
  • 目的限制
  • 数据最小化-如APP合规检查
  • 准确性
  • 限期储存-数据保留策略
  • 数据的完整性与保密性
  • 可问责性
C.数据主体的权利
  • 知情权
  • 访问权
  • 更正权
  • 被遗忘权
  • 限制处理权
  • 数据携带权
  • 反对权
D.数据泄露通知
  • 如果数据发生泄露,控制者应该在 72 小时内通知监管机构

4.其他法律框架

  • 健康保险可携性与责任法案(HIPAA)
  • 支付卡行业数据安全标准(PCI DSS)
  • 隐私盾(Privacy shield)
  • 塞班斯法案(SOX)

5.法律、法规、合同的区别

A.法律(law) 规定了法定的要求
  • 国家级法律,如美国的 HIPAA、欧盟的 GDPR、加拿大的 PEPEDA
  • 特定行业法律,如美国涉及学生隐私的 FERPA。
  • 州、省或地区的法律,如纽约的 SHIELD。
B.法规(regulatory)

要求也可能是法律规定的,但指的是由政府实体指定的监管机构发布的规则,如美国的FISMA 要求政府机构实施计划,但具体要求是 NIST SP 800-53 的内容。

C.合同(contractual)

要求是私人当事方之间的法律合同所要求的,通常不会导致监禁,但会导致经济处罚、诉讼和终止合同。

1.4 电子发现

电子发现 (eDiscovery)被定义为追踪、定位、保护和搜索电子数据的任何过程,其目的是将其作为民事或刑事法律案件的证据。

1.云中电子发现的考虑因素和挑战

  • 在选择 CSP 时,应将电子发现作为安全要求纳入合同条款
  • 数据位置的选择应该规避有强制要求移交数据的国家
  • 与法务部门或法律顾问合作审查合规风险

2.电子发现框架

  • ISO 27050:电子发现
  • 云安全联盟 (CSA)有关云环境 ISO 标准交叉映射
  • NISTIR 8006:计算机取证科学挑战

1.5 取证要求

  • 云安全联盟 (CSA) 安全指南领域 3:法律问题:合同和电子发现
  • 数字证据的识别、收集、获取和保护指南ISO 27037:
  • ISO 27041:确保事故调查方法的适用性和充分性指南
  • ISO 27042:数字证据分析和解释指南
  • ISO 27043:事故调查准则和流程

2理解隐私问题

隐私(privacy)被定义为免受他人观察的状态,由于隐私数据可以识别到个人,往往会作为个人权利受到法律法规的保护

2.1 合同和监管的隐私数据区别

1.主要区别

  • 是否是法律法规要求
  • 违规报告的不同
  • 处罚力度的不同
  • 影响受众的不同
  • 安全控制力度的不同

2.数据处理合同的内容

  • 数据的处理范围
  • 分包商
  • 数据的删除
  • 数据的安全控制
  • 数据的物理位置
  • 数据的处置
  • 审计

3.GDPR数据处理合同模板

  • 定义及解释
  • 公司个人数据的处理
  • 处理人员
  • 安全性
  • 分包处理
  • 数据主体权利
  • 个人数据泄露
  • 数据保护影响评估和事先咨询
  • 公司个人数据的删除和归还
  • 审计权利
  • 数据转移
  • 一般条款
  • 适用法律和管辖权

2.2隐私数据相关的国家特有法律

  • 欧盟-通用数据保护条例(GDPR)
  • 澳大利亚-隐私法案
  • 美国-没有隐私保护的总体法律
  • 中国-PIPL

2.3 数据隐私中司法管辖权的不同

数据的处理和存储位置决定司法管辖权的差异,可能产生合规性风险

2.4 标准的隐私要求

  • ISO 27018:作为 PII 处理者在公有云中保护 PII 的行为准则
  • 公认隐私准则 (GAPP)
  • 通用数据保护条例(GDPR)

2.5 隐私影响评估

隐私影响评估 (PIA)数据保护影响评估 (DPIA)旨在识别系统收集、处理或存储的隐私数据,并评估该数据泄露泄露可能产生的影响。

典型 DPIA 的过程:

  • 确定 DPIA 的范围
  • 记录收集的数据类型和数据流
  • 梳理数据以及其安全控制
  • 评估数据泄露风险以及缺失的安全控制
  • 输出最终报告

3理解云环境的审计流程、方法和所需的适用性

审计 (audit)能够验证安全控制的合规性和有效性,可参考 CSA 云控制矩阵 (CCM)和安全控制框架(SCF)

3.1 内部和外部审计控制

组织的审计策略应该定期开展外部审计,持续开展内部审计,内部审计师应在组织架构外独立,直接为高级管理层负责,并在持续审计活动中积累知识库,为外部审计提供基础以提高审计效率。

  • 外部审计由第三方审计师执行,有较强的独立性,成本高,执行频率低,对内部不熟悉。
  • 内部审计由内部审计师执行,有较弱的独立性,成本低,执行频率高,对内部熟悉

3.2 审计需求的影响

审计活动主要受合规要求、组织自身需求和目标环境影响

3.3 识别虚拟化和云的保障挑战

挑战主要是责任共享原因造成的,云客户仅能审计自己负责的层面,其他 CSP 负责的层面审计通常以报告形式提供给云客户。

3.4 审计报告类型

1.SOC、SSAE 和 ISAE

鉴证业务准则 (SSAE)是由美国注册会计师协会 (AICPA)定义的一套标准,在进行审计和生成服务组织控制(SOC)报告时使用。国际鉴证准则 (ISAE)是由国际审计和鉴证标准委员会定义的一套标准,与 SSAE 类似。

  • SOC 1:涉及财务控制,用于衡量组织的经营状况
  • SOC 2:涉及信息安全控制,Type 1仅涉及控制审计的审查,不测试有效性,Type2 则会涉及控制的有效性测试,通常需要签订 NDA 才能获取
  • SOC 3:SOC2 报告的脱敏版本,可以自由分发。

2.CSA

云安全联盟 (CSA)的安全可信保障和风险 (STAR)认证计划可用于评估组织的保障水平。

  • Level1:自评估,CSP 完成 CSA 云控制矩阵 (CCM)或共识评估倡议问卷 (CAIQ),并将其提交给 STAR 注册中心。
  • Level 2:第三方审计,可独立审计或纳入 SOC 2或 ISO 27001。

3.5 审计范围声明限制

审计范围声明说明了审计报告覆盖的范围,通常包含以下内容:

  • 目的和目标的声明
  • 审计范围和明确排除
  • 审计类型
  • 安全评估要求
  • 评估标准和评分表
  • 验收标准
  • 预期可交付成果
  • 密级分类

3.6 差距分析

差距分析(gap analysis)主要目的是将组织的当前实践与特点框架进行比较并找出两者之间的差距,可用于正式审计前自评估或合规变化的影响评估。常见步骤如下:

  • 确定分析的必要性并获得管理层的支持
  • 定义范围、目标和相关框架
  • 识别部门或区域的当前状态
  • 审查证据和支持文件
  • 识别框架与现实间的差距
  • 编写报告并获得领导批准

3.7 审计规划流程

审计流程通常包括四个阶段,最重要的是审计规划阶段。

1.审计规划

  • 记录和定义审计计划的目标
  • 差距分析或就绪状态评估
  • 定义审计目标和交付物
  • 识别审计师和资格
  • 识别范围和限制

2.审计现场工作

审计师执行收集、测试和评估组织的实际工作

3.审计报告

着手现场工作时就开始编写报告,并与被审计组织确认报告内容,最终出具正式报告

4.审计跟进

针对发现的问题在修补后再次验证。

3.8 内部信息安全管理体系 (ISMS)

ISMS 是一种系统的信息安全方法,由流程、技术和人员组成,旨在帮助保护和管理组织的信息,参考 ISO 27001:信息安全管理体系

3.9 内部信息安全控制体系

信息安全控制体系为减轻 ISMS 风险管理过程中识别的风险提供指导

  • 范围界定 (scoping):识别适应于组织的控制措施。
  • 裁剪 (tailoring):将适应的控制措施与组织的具体环境相匹配的过程

3.10 策略

策略(policy)为用户和组织提供了一种理解需求的方法,并为组织提供了以系统方式实施这些需求的方法,是一个正式的、高层次的文件,由高级管理层批准实施,并在组织内进行培训和教育。

1.组织策略

用来概述公司规则和准则,如考勤制度。

2.职能策略

为员工提供的标准化定义,描述他们如何使用系统或数据,如数据分类策略。

3.云计算策略

定义用户在使用云服务时必须遵守的要求,如远程访问要求。

3.11 识别和包含利益相关者

识别并包含利益相关者到审计过程中,保障审计活动不会遗漏重要细节

3.12 高度监管行业的特别合规需求

高度监管的行业通常涉及高度敏感的数据,因此在选择 CSP 时关注特殊的合规性要求

3.13 分布式信息技术模型的影响

由于云环境的特性,审计工作必须考虑更多的地理位置、数据收集方式、司法管辖权等。

4理解云对企业风险管理的影响

4.1 评估提供者的风险管理计划

客户依靠供应链风险管理(SCRM)流程来评估采用 CSP 服务的相关风险,主要依靠 CSP 提供的审计报告来评估 CSP 的风险管理计划。评估风险管理计划时需要注意:

  • 风险概况 (risk profile) :一个组织当前面临的风险水平
  • 风险偏好 (risk appetite):一个组织愿意承担的风险水平
  • 风险能力(risk capacity) :一个组织能够承担的风险水平

4.2数据所有者/控制者和数据托管员/处理者的区别

  • 数据主体(data subject) :已识别或可识别的自然人
  • 数据控制者(data controller):决定个人数据处理目的与方式的任何实体
  • 数据处理者(data processor):代表控制者处理个人数据的实体。

4.3 监管透明度要求

1.泄露通知

大多数隐私法包括强制性的泄露通知,即组织如果遭受数据泄露,则必须向公众或监管部门在规定时间内进行通知,相关要求纳入事故响应计划和程序中。

2.塞班斯法案(SOX)

SOX 要求作为数据所有者需要遵循以下透明度要求:

  • 第 802 条:销毁、更改或隐藏文件以防止在正式法律程序中使用是犯罪行为.
  • 第 804 条:公司必须将与审计机有关的记录至少保留五年。

3.通用数据保护条例 (GDPR)

第十二条 透明的信息、交流与形式-数据主体权利的行使中,对于和个人信息处理相关的所有信息以及交流,控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言来提供。

4.4 风险处置

识别风险后就需要考虑风险处置方法,以减少风险发生的可能性或影响。减少可能性的处理方法是主动的,被称为保障措施(safeguard),而风险发生后减少影响的方法是被盗的,被称为应对措施 (countermeasure),统称为控制措施 (control)。

  • 风险规避:不从事某项活动来完全避免风险,如拔网线
  • 风险转移:将风险转移给另一个组织,如保险公司
  • 风险缓解:实施控制措施来减少风险的可能性和影响
  • 风险接受:经成本效益分析后,某些风险决定接受不做处置,要记录决策

4.5 风险框架

1.ISO 31000:风险管理

  • ISO 31000:风险管理-指南
  • ISO 31010:风险管理-风险评估技术
  • ISO Guide 73:风险管理-RMF

2.欧洲网络和信息安全局 (ENISA)

ENISA 的云计算风险评估指南,提供了组织在设计云计算系统时应注意和计划的云特定风险的详细信息。

3.国家标准技术研究所 (NIST)

  • NIST SP 800-146:云计算概要和建议
  • NIST SP 800-37:风险管理框架 (RMF)

4.6 风险管理的指标

持续跟踪关键的网络安全指标可以作为衡量风险管理工作的成果

  • 补丁修复水平:完全打补丁且更新到最新的设备所占比。
  • 部署补丁的时间:设备收到所需补丁的时间。
  • 入侵尝试:入侵尝试的次数,基于安全报警或日志
  • 平均检测时间 (MTTD):识别安全事故的平均时间
  • 平均遏制时间 (MTTC):遏制安全事故的平均时间
  • 平均解决时间 (MTTR) :解决安全事故的平均时间

4.7 风险环境的评估

1.ISO 15408-1:通用准则

通用准则 CC) 用来评估产品的保障级别来为客户提供选购参考,EAL1-7

2.云安全联盟 (CSA)的安全、可信、保障和风险 (STAR)

CSA 是一个非营利性组织,其 STAR 认证提供对 CSP 安全和隐私控制的验证。

  • Level1:自评估,CSP 完成 CSA 云控制矩阵 (CCM) 或共识评估倡议问卷 (CAIQ),并将其提交给 STAR 注册中心。
  • Level 2:第三方审计,可独立审计或纳入 SOC 2或 ISO 27001。

3.ENISA 的欧盟云服务网络安全认证计划 (EUCS)

用于评估云服务提供商的云服务和部署模式的安全状况

5 理解外包和云合同设计

5.1 业务需求

组织识别自身业务需求,选择满足要求的 CSP 并与其签订主服务协议 (MSA),安全团队 需要确保安全要求被纳入 MSA。工作说明书 (SOW)用于说明细粒度的安全要求。服务水平协议(SLA)用于确保 CSP 提供的服务水平达到服务水平需求(SLR),并涉及不满足的处罚措 施。SLA 的常见要素:

  • 正常运行时间保证
  • 违反 SLA的处罚
  • 违反 SLA 的处罚排除和限制
  • 暂停服务条款
  • 提供者责任
  • 数据保护和管理
  • 灾难恢复和恢复点目标
  • 安全和隐私的通知和时限

5.2 供应商管理

1.评估供应商

确定 CSP 后定期进行持续评估,主要是审查如 SOC2 报告

2.评估供应商锁定风险

主要涉及评估使用 CSP 独有服务的锁定风险。

3.评估供应商的可行性

主要涉及评估 CSP 的财务报表、业绩历史、声誉等

4.探索托管选项

主要涉及评估将敏感信息托管给可信第三方的可行性,如软件托管

5.3 合同管理

云合同管理是一项核心业务活动,对与 CSP 的的任何持续关心都至关重要,可参考对象管理组 (OMG) 云工作组的云服务合同实践指南

1.合同条款

合同条款规定了合同各方之间的协议,任何 CSP 或其他数据服务提供商应考虑以下内容:

  • 审计的权利:客户可以审计服务提供商,以确保满足合同条款
  • 衡量标准:服务指标,可放入 SLA 中。
  • 定义:明确定义不明确的术语以避免误解
  • 终止:终止合同或服务的条件
  • 诉讼:明确诉讼条件和方式
  • 保障:明确服务期望。
  • 合规:明确需要满足的合规要求。
  • 云/数据访问:明确客户对数据的访问权利。

2.网络风险保险

网络风险保险旨在帮助组织将风险转移给保险公司来减少风险的财务影响,通常涵盖调查、直接业务损失、恢复成本、法律通知、诉讼、勒索、视频和相关费用等。

5.4 供应链管理

管理供应链中的风险既要关注运营风险,以确保供应商有能力提供所需的服务,也要关注安全风险,即供应商有足够的风险管理计划来应对他们所面临的风险,可参考 ISO 27036:供应关系。