企業(yè)信息安全簡(jiǎn)析(3篇)

1、企業(yè)信息平安簡(jiǎn)析(3篇) 第一篇：電力企業(yè)信息平安等級(jí)保護(hù)定級(jí)摘要：隨著現(xiàn)代化社會(huì)和工業(yè)化技術(shù)的不斷開(kāi)展，信息化也在不斷的開(kāi)展，其中最為重要并且開(kāi)展效果最顯著的便是電力行業(yè)。在電力行業(yè)的開(kāi)展過(guò)程中，電力設(shè)計(jì)企業(yè)是電網(wǎng)合理設(shè)計(jì)的重要環(huán)節(jié)，對(duì)于開(kāi)展信息系統(tǒng)平安等級(jí)保護(hù)工作有著非常重要的意義。本文詳細(xì)分析電力設(shè)計(jì)企業(yè)信息平安等級(jí)保護(hù)定級(jí)方式。關(guān)鍵詞：電力設(shè)計(jì)企業(yè)；信息平安等級(jí)；保護(hù)定級(jí)隨著我國(guó)智能電網(wǎng)的飛速開(kāi)展以及電力信息的不斷創(chuàng)新，電力設(shè)計(jì)企業(yè)信息系統(tǒng)是否可以穩(wěn)定、持續(xù)、平安的運(yùn)行將影響國(guó)家的能源系統(tǒng)的有序性，是確保國(guó)家開(kāi)展的根本措施。根據(jù)國(guó)家與電力行業(yè)所開(kāi)展的信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)工作的實(shí)際標(biāo)

2、準(zhǔn)，必須有序完成平安等級(jí)保護(hù)定級(jí)流程、定級(jí)對(duì)象、損害程度、平安等級(jí)、信息系統(tǒng)備案等一系列工程工作。1信息平安等級(jí)保護(hù)簡(jiǎn)介電力設(shè)計(jì)企業(yè)信息平安等級(jí)保護(hù)主要是指企業(yè)法人、國(guó)家平安或其他類型的組織、公民享受的信息、公開(kāi)信息的儲(chǔ)存、傳輸以及處理這些信息的系統(tǒng)分等級(jí)施行平安保護(hù)。對(duì)信息系統(tǒng)當(dāng)中所可能涉及的信息平安產(chǎn)品實(shí)行分等級(jí)的管理，對(duì)信息系統(tǒng)當(dāng)中發(fā)生信息平安事件施行分等級(jí)受理、響應(yīng)以及處理等綜合性的平安防護(hù)工作。2電力設(shè)計(jì)企業(yè)信息平安等級(jí)保護(hù)定級(jí)信息系統(tǒng)的定級(jí)主要是由業(yè)務(wù)流程的完好性上實(shí)行整體化的分析、考慮，其詳細(xì)的施行步驟為以下幾步：明確被定級(jí)的目的；明確業(yè)務(wù)信息平安在遭受破壞后所損害的客體或?qū)腕w

3、形成的傷害程度；明確業(yè)務(wù)信息平安的保護(hù)等級(jí)；確定系統(tǒng)效勞平安在遭受損害之后對(duì)客體或?qū)腕w形成的傷害程度；明確系統(tǒng)效勞平安的保護(hù)等級(jí)；由企業(yè)、法人或個(gè)人明確對(duì)定級(jí)系統(tǒng)的平安保護(hù)等級(jí)。一般情況下，在信息系統(tǒng)分級(jí)過(guò)程中，應(yīng)當(dāng)按照信息系統(tǒng)的狀況，綜合分析信息系統(tǒng)的業(yè)務(wù)類型、責(zé)任單位、內(nèi)容的重要性以及物理信息等各類型因素對(duì)信息系統(tǒng)進(jìn)展正確的劃分。電力設(shè)計(jì)企業(yè)信息平安等級(jí)之間的關(guān)聯(lián)性，按照配置最正確優(yōu)化方式、進(jìn)步系統(tǒng)內(nèi)部平安防護(hù)才能、通信網(wǎng)絡(luò)平安防護(hù)以及本地使用與傳輸環(huán)境平安防護(hù)等定級(jí)原那么，定級(jí)的信息系統(tǒng)在業(yè)務(wù)流程上需要具備較強(qiáng)的獨(dú)立性和全面性。按照上述的方式和定級(jí)原那么，企業(yè)根本上可以被確定為以下幾項(xiàng)

4、定級(jí)對(duì)象：設(shè)計(jì)管理的系統(tǒng)主要包含綜合性信息管理系統(tǒng)、三維設(shè)計(jì)系統(tǒng)、工程管理系統(tǒng)、經(jīng)營(yíng)管理系統(tǒng)以及圖檔信息管理系統(tǒng)；外部信息主要包含郵件信息系統(tǒng)、企業(yè)各類型網(wǎng)站信息系統(tǒng)以及網(wǎng)絡(luò)信息系統(tǒng)；營(yíng)銷、財(cái)務(wù)經(jīng)濟(jì)狀況管理系統(tǒng)等。對(duì)客體的破壞程度對(duì)業(yè)務(wù)信息平安以及系統(tǒng)效勞平安的影響，其中系統(tǒng)效勞平安主要是保障整個(gè)信息系統(tǒng)的完好性、實(shí)用性等特點(diǎn)來(lái)施行的。業(yè)務(wù)信息平安主要可以借助完好性、可用性以及隱秘性等來(lái)施行。信息系統(tǒng)的平安防護(hù)等級(jí)主要與業(yè)務(wù)信息的平安防護(hù)等級(jí)、系統(tǒng)的效勞平安保護(hù)等級(jí)作為主要設(shè)立根據(jù)，一般情況下以等級(jí)較高決定。業(yè)務(wù)信息、系統(tǒng)效勞平安保護(hù)等級(jí)。除此之外，還需要參考國(guó)家所出臺(tái)的平安等級(jí)保護(hù)定級(jí)建議，

5、并最終明確各類信息系統(tǒng)的平安保護(hù)等級(jí)。3系統(tǒng)備案以及平安等級(jí)保護(hù)定級(jí)變更電力設(shè)計(jì)企業(yè)信息平安系統(tǒng)應(yīng)當(dāng)結(jié)合使用單位而明確信息系統(tǒng)的平安保護(hù)等級(jí)之后，制作并填寫相應(yīng)的備案表，然后向上級(jí)部門審核內(nèi)容，在經(jīng)過(guò)審核批準(zhǔn)之后將備案手續(xù)備案到公安機(jī)關(guān)，從而保障平安等級(jí)系統(tǒng)在公安部門有備案數(shù)據(jù)，保障企業(yè)利益。在信息平安系統(tǒng)的工作過(guò)程中，信息平安系統(tǒng)的平安保護(hù)等級(jí)應(yīng)當(dāng)隨著信息系統(tǒng)所對(duì)應(yīng)的信息以及相應(yīng)的業(yè)務(wù)形式等內(nèi)容的變化而進(jìn)展適當(dāng)?shù)淖兏?，特別是工作狀態(tài)變化較大或者變化形式導(dǎo)致業(yè)務(wù)信息平安或系統(tǒng)效勞在遭受破壞之后形成較大影響時(shí)，必需要對(duì)平安保護(hù)等級(jí)重新實(shí)行相應(yīng)的等級(jí)評(píng)定，在重新平定之后，仍然需要向相關(guān)公安機(jī)關(guān)重新

6、申報(bào)備案。4總結(jié)綜上所述，通過(guò)對(duì)信息系統(tǒng)定級(jí)以及備案的分析，可以明晰的掌握各個(gè)信息系統(tǒng)的重要性以及所需要的相應(yīng)防護(hù)等級(jí)等信息，這些信息有利于電力設(shè)計(jì)企業(yè)對(duì)信息平安等級(jí)保護(hù)進(jìn)展更加合理的定級(jí)，并施行相應(yīng)的管理。隨著電力設(shè)計(jì)企業(yè)的不斷開(kāi)展以及信息技術(shù)的不斷創(chuàng)新，信息系統(tǒng)的平安防護(hù)等級(jí)必然也會(huì)隨之而變。對(duì)此，就需要相關(guān)工抄還是復(fù)印涉及企業(yè)技術(shù)和商業(yè)機(jī)密資料，或者引用了涉密數(shù)據(jù)，都應(yīng)該做出明確標(biāo)示，一方面是落實(shí)保密法規(guī)制度，另一方面也是給接觸者一個(gè)警示和提醒，讓企業(yè)工作人員更好地保管有關(guān)材料，防止隨意傳播、丟棄，造成無(wú)意泄密。其四，誤以為網(wǎng)絡(luò)是法外之地，自己使用的是匿名，在網(wǎng)上干些什么、說(shuō)些什么都沒(méi)人

7、知道。這種認(rèn)識(shí)是完全錯(cuò)誤的。事實(shí)上，在上網(wǎng)時(shí)，雖然IP地址的獲取是隨機(jī)的，但在某個(gè)時(shí)段、某個(gè)IP地址是何用戶使用的，在效勞器中記錄得清清楚楚，網(wǎng)上的任何信息都可以追根溯源，任何行為都會(huì)留下電子信息。其五，誤以為信息被刪除了，就真的不存在了。在計(jì)算機(jī)里，刪除信息通常有兩種方式：一種是直接刪除，并從回收站里去除；另一種是利用粉碎工具粉碎。這兩種方式其實(shí)都是可以恢復(fù)的。因?yàn)榍耙环N只是刪了文件名，后一種只是采取了數(shù)據(jù)覆蓋的方式，它可以對(duì)付一般恢復(fù)技術(shù)，但對(duì)專業(yè)人員一點(diǎn)用都沒(méi)有。為此，企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)處理過(guò)的技術(shù)和商業(yè)機(jī)密的存儲(chǔ)介質(zhì)的管理，決不能因信息去除不徹底而造成泄密。其六，誤以為拔掉網(wǎng)線不上網(wǎng)，處理

8、涉密信息后再拷出來(lái)并刪掉就不會(huì)泄密。這種認(rèn)識(shí)是不對(duì)的，假如計(jì)算機(jī)或者挪動(dòng)外接設(shè)備挪動(dòng)硬盤、U盤被植入了專用木馬習(xí)慣上稱為擺渡工具，它就會(huì)在使用者毫無(wú)覺(jué)察的情況下，把涉密信息臨時(shí)儲(chǔ)存在計(jì)算機(jī)內(nèi)。當(dāng)你再次上互聯(lián)網(wǎng)時(shí)，它又會(huì)在不知不覺(jué)中將這些信息傳到特定的效勞器。企業(yè)必須加強(qiáng)內(nèi)網(wǎng)管理，內(nèi)部網(wǎng)絡(luò)設(shè)備必須專用，要采取行政和技術(shù)手段杜絕在互聯(lián)網(wǎng)上穿插使用，以確保內(nèi)外網(wǎng)的物理隔離。其七，誤以為信息在網(wǎng)上發(fā)布了就是信息公開(kāi)，也就不涉密了。解密分為兩種，一是按照保密期限或者解密條件解密。定密要確定保密期限或者解密條件，當(dāng)?shù)狡诨蛘呓饷軛l件具備后，定密機(jī)關(guān)或者企業(yè)單位沒(méi)有異議的，就視為解密。另一種是決定解密，也就是

9、機(jī)關(guān)、企業(yè)單位在決定和處理事項(xiàng)工作中確定需要保密的事項(xiàng)，根據(jù)工作需要決定公開(kāi)的，正式公布即視為解密。這種解密是由原定密機(jī)關(guān)單位決定的，那種非正式渠道或者非定密機(jī)關(guān)、企業(yè)單位擅自公布的是泄密，而非解密。個(gè)人或企業(yè)單位擅自轉(zhuǎn)載會(huì)造成機(jī)密在更大范圍內(nèi)擴(kuò)散，因此企業(yè)官網(wǎng)或者個(gè)人轉(zhuǎn)載信息，要看信息發(fā)布機(jī)關(guān)和部門是否具備發(fā)布和解密的資格、信息是否權(quán)威。四、幾點(diǎn)建議1.企業(yè)的計(jì)算機(jī)無(wú)論涉密與否都要設(shè)密碼。設(shè)密碼不是為了防范企業(yè)內(nèi)部人員，而是防止本企業(yè)以外的人員利用企業(yè)的計(jì)算機(jī)來(lái)胡作非為。假如企業(yè)的上網(wǎng)計(jì)算機(jī)不設(shè)密碼，那就等于對(duì)網(wǎng)上所有人士開(kāi)放了最高權(quán)限，略懂網(wǎng)絡(luò)技術(shù)的人就可以隨意訪問(wèn)企業(yè)計(jì)算機(jī)，調(diào)取企業(yè)信息

10、資料，或者上傳與企業(yè)無(wú)關(guān)的信息資料，或者把企業(yè)的計(jì)算機(jī)作為跳板，也就是通常所說(shuō)的中間機(jī);，對(duì)其它計(jì)算機(jī)發(fā)起攻擊，而被攻擊對(duì)象一旦發(fā)起追溯，這臺(tái)中間機(jī);就成為攻擊者的替罪羊。所以，為了企業(yè)信息的自身平安，為了防止可能引起的不必要的費(fèi)事，最好是設(shè)上密碼。還要注意：不要用某人的生日來(lái)作密碼，這是撞庫(kù);攻擊最為常用的密碼。2.企業(yè)的涉密計(jì)算機(jī)和設(shè)備堅(jiān)決不能接入互聯(lián)網(wǎng)。這里說(shuō)的接入;是指以下兩種行為：一是將企業(yè)的涉密計(jì)算機(jī)直接連接互聯(lián)網(wǎng)；二是將企業(yè)的涉密設(shè)備如挪動(dòng)硬盤、U盤以及其它具有存儲(chǔ)功能的設(shè)備在企業(yè)的涉密計(jì)算機(jī)和上網(wǎng)聯(lián)網(wǎng)的計(jì)算機(jī)之間穿插使用。假如接入互聯(lián)網(wǎng)，便有兩個(gè)危害：首先是違規(guī)，說(shuō)得嚴(yán)重一點(diǎn)是

11、犯法。我國(guó)?保密法?第條明確規(guī)定，不得將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其它公共信息網(wǎng)絡(luò);。一旦接了，就是違法行為；其次，假如企業(yè)的計(jì)算機(jī)被人控制了，這些信息就可能被人閱讀、竊走，從而造成泄密。什么是泄密呢？機(jī)密信息失去控制，而又無(wú)法證明不被不得知悉的人知悉了，就可以認(rèn)定為泄密。企業(yè)工作人員一旦把帶有企業(yè)涉密信息的設(shè)備連接到上互聯(lián)網(wǎng)的計(jì)算機(jī)，嚴(yán)格來(lái)講，這種行為就已經(jīng)造成了信息失控，認(rèn)定泄密并不冤枉。3.傳遞涉密信息要選擇正確的渠道。這里要特別提醒的是：企業(yè)不能用普通電子郵件和郵政、快遞傳遞涉密信息或載體。電子郵件的存在背景就是互聯(lián)網(wǎng)，是絕對(duì)不允許的。但郵局、快遞呢？也是不允許的。企業(yè)工作人

12、員一定要注意：傳遞涉密信息，電子方式的要使用專用加密設(shè)備；光盤和紙質(zhì)的信息載體，要么選擇機(jī)要交通，要么安排專人傳送，其它途徑都是不允許的，更不允許擅自攜帶涉密載體出國(guó)境，或者將涉密信息、載體郵寄或傳遞到國(guó)境外。4.企業(yè)處理涉密信息要用專用計(jì)算機(jī)和存儲(chǔ)介質(zhì)。企業(yè)如需處理涉密信息，就要裝備專用計(jì)算機(jī)、挪動(dòng)硬盤等工具，且確保這些工具只用于處理涉密信息和涉密事項(xiàng)，絕對(duì)不能使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家機(jī)密信息;以及企業(yè)重要經(jīng)濟(jì)信息。5.企業(yè)要按規(guī)定物理銷毀報(bào)廢的涉密載體和設(shè)備。企業(yè)處理過(guò)涉密信息的計(jì)算機(jī)、挪動(dòng)存儲(chǔ)介質(zhì)報(bào)廢后，要按照企業(yè)相關(guān)規(guī)定，按程序報(bào)批后，采取物理銷毀的方式施行銷毀，

13、絕對(duì)不能贈(zèng)送、出售、丟棄或者改作他用;。6.企業(yè)要組織員工加強(qiáng)?保密法?的學(xué)習(xí)。5800多字的?保密法?，不僅是我們處理涉密問(wèn)題的根本根據(jù)，更是保護(hù)我國(guó)企業(yè)安康平安開(kāi)展的護(hù)身符。中國(guó)企業(yè)正在走出去;，在一帶一路;以及更加廣闊的國(guó)際經(jīng)濟(jì)合作中發(fā)揮作用?？茖W(xué)有效地保護(hù)企業(yè)商業(yè)信息，防范企業(yè)的專有技術(shù)、專利成果、重大商業(yè)信息等無(wú)形資產(chǎn)不致遭遇風(fēng)險(xiǎn)，特別是把防范工作做在事前，對(duì)迅速開(kāi)展著的中國(guó)企業(yè)至關(guān)重要。企業(yè)要積極組織全體員工認(rèn)真學(xué)習(xí)?保密法?，從保護(hù)企業(yè)信息平安的高度出發(fā)，樹(shù)立新形平安文化意識(shí)，加強(qiáng)企業(yè)信息平安警示教育，加大信息平安投入，常抓不懈。要：文章著重研究了企業(yè)在選擇SaaS效勞時(shí)如何評(píng)估

14、效勞提供商的平安管理才能，旨在為企業(yè)選擇各種SaaS效勞時(shí)提供參考和指引。關(guān)鍵詞：云效勞；SaaS；平安評(píng)估；信息平安隨著云計(jì)算關(guān)鍵技術(shù)的不斷打破，中國(guó)企業(yè)級(jí)軟件效勞化SoftwareasaService，SaaS效勞市場(chǎng)百花齊放，企業(yè)對(duì)SaaS效勞的認(rèn)可度進(jìn)入快速上升的軌道，應(yīng)用規(guī)模迅速擴(kuò)大。然而，由于我國(guó)云計(jì)算標(biāo)準(zhǔn)體系尚不完備，保護(hù)個(gè)人隱私數(shù)據(jù)的法律法規(guī)、市場(chǎng)監(jiān)管方式有待完善，各公司的SaaS產(chǎn)品的平安性參差不齊，部分SaaS產(chǎn)品存在較大的平安隱患。據(jù)易觀智庫(kù)2021年度的調(diào)查，在影響用戶選擇企業(yè)級(jí)SaaS效勞的因素當(dāng)中，產(chǎn)品的平安性和可靠性排名第二，比例高達(dá)87.2%【1】。為了消除企業(yè)

15、對(duì)SaaS云效勞存在的平安風(fēng)險(xiǎn)顧慮，本文著重研究評(píng)估SaaS云效勞及提供商的平安管理才能的第二方評(píng)估方法，旨在為企業(yè)選擇SaaS效勞時(shí)提供參考和指引。1用戶主要關(guān)注的SaaS效勞平安問(wèn)題用戶關(guān)注的SaaS效勞平安問(wèn)題主要可以分為3類。首先是數(shù)據(jù)泄露或喪失問(wèn)題。信息是企業(yè)的核心資產(chǎn)，假如發(fā)生數(shù)據(jù)泄露，公司可能遭受宏大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數(shù)據(jù)會(huì)不會(huì)喪失、被竊，會(huì)不會(huì)發(fā)生泄露是企業(yè)主要關(guān)注的問(wèn)題之一。其次是云效勞中斷問(wèn)題。企業(yè)將關(guān)鍵工作負(fù)載遷移到云中，云效勞僅僅幾分鐘的宕機(jī)都可能會(huì)極大地?fù)p害企業(yè)與客戶的關(guān)系，而停電、錯(cuò)誤軟件更新、效勞器過(guò)載、數(shù)據(jù)庫(kù)錯(cuò)誤等都有可能

16、導(dǎo)致云效勞中斷。最后是云效勞可持續(xù)性問(wèn)題。企業(yè)投入了大量的資源去學(xué)習(xí)SaaS軟件、開(kāi)發(fā)接口以實(shí)現(xiàn)系統(tǒng)間的集成，一旦云效勞商停頓對(duì)外提供效勞將導(dǎo)致之前的系統(tǒng)集成投入歸零。2從信息平安的視角選擇SaaS效勞企業(yè)在選用SaaS效勞時(shí)應(yīng)當(dāng)遵循最根本的底線職責(zé)可以轉(zhuǎn)移，但責(zé)任不可轉(zhuǎn)移。在簽署SaaS效勞協(xié)議前應(yīng)進(jìn)展盡職調(diào)查，可以由IT部門對(duì)SaaS效勞及提供商的平安管理才能進(jìn)展評(píng)估。進(jìn)展評(píng)估時(shí)，應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向，重點(diǎn)關(guān)注數(shù)據(jù)平安、應(yīng)用平安，確保數(shù)據(jù)不丟、應(yīng)用不停、持續(xù)效勞;。其中，數(shù)據(jù)不丟;主要評(píng)估SaaS效勞的租戶身份識(shí)別和訪問(wèn)管理、數(shù)據(jù)加密管理、日志及審計(jì)管理；應(yīng)用不停;主要評(píng)估云效勞數(shù)據(jù)中心平安、變

17、更和配置管理、平安事件管理及供應(yīng)鏈管理；持續(xù)效勞;主要評(píng)估業(yè)務(wù)連續(xù)性管理、公司的穩(wěn)定性及增長(zhǎng)性、可移植性和互操作性。最后，很重要的一點(diǎn)，將對(duì)SaaS效勞商的效勞程度要求、平安管控要求以及責(zé)任等落實(shí)到合同中。詳細(xì)來(lái)說(shuō)，企業(yè)對(duì)SaaS效勞及提供商的平安管理才能進(jìn)展評(píng)估時(shí)，可參照以下平安域檢查清單進(jìn)展評(píng)估【2】。1風(fēng)險(xiǎn)管理。每種環(huán)境都具有某種程度的脆弱性，都面臨一定的威脅，關(guān)鍵在于識(shí)別這些威脅，評(píng)估它們實(shí)際發(fā)生的可能性以及可能造成的破壞，并采取適當(dāng)?shù)拇胧h(huán)境中的風(fēng)險(xiǎn)降低到可承受范圍。企業(yè)可以通過(guò)查閱效勞商的風(fēng)險(xiǎn)管理程序和風(fēng)險(xiǎn)評(píng)估報(bào)告，判斷云效勞商的風(fēng)險(xiǎn)管理才能，例如對(duì)云效勞風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)的可承受級(jí)

18、別是否已定義，如何識(shí)別、分析威脅和脆弱性對(duì)資產(chǎn)的潛在影響，影響分析標(biāo)準(zhǔn)是否可測(cè)量、可重復(fù)執(zhí)行，是否認(rèn)期對(duì)SaaS效勞運(yùn)行的硬件和軟件系統(tǒng)進(jìn)展平安性檢測(cè)等。2身份識(shí)別和訪問(wèn)管理。身份識(shí)別和訪問(wèn)控制作為信息平安管理過(guò)程中的關(guān)鍵環(huán)節(jié)，在云計(jì)算環(huán)境下，面臨著惡意的內(nèi)部人員、不平安的應(yīng)用程序接口等更復(fù)雜的風(fēng)險(xiǎn)。企業(yè)可以通過(guò)檢查身份認(rèn)證及訪問(wèn)控制程序，判斷云效勞商的身份識(shí)別和訪問(wèn)控制管理程度。例如在SaaS系統(tǒng)創(chuàng)立租戶初始密碼時(shí)是否隨機(jī)生成租戶默認(rèn)密碼，租戶首次登陸系統(tǒng)時(shí)是否強(qiáng)迫要求修改默認(rèn)密碼，密碼是否有復(fù)雜度要求，能否支持雙因子驗(yàn)證租戶身份，能否檢測(cè)租戶異常登陸并通知等。3數(shù)據(jù)加密管理。數(shù)據(jù)是企業(yè)的重

19、要資產(chǎn)，云平臺(tái)中的數(shù)據(jù)需要防止出現(xiàn)數(shù)據(jù)泄露、喪失、被竊等問(wèn)題。通過(guò)加密來(lái)保證數(shù)據(jù)的機(jī)密性是云平臺(tái)中數(shù)據(jù)保護(hù)的一項(xiàng)最正確理論，在某些情況下也是某些國(guó)家和地區(qū)的法律法規(guī)所強(qiáng)迫要求的。企業(yè)可以通過(guò)檢查密鑰管理策略及加密管理程序，判斷云效勞商的數(shù)據(jù)保護(hù)程度，例如SaaS系統(tǒng)所使用的密鑰能否進(jìn)展生命周期統(tǒng)一管理，通過(guò)閱讀器訪問(wèn)SaaS系統(tǒng)時(shí)能否支持平安傳輸協(xié)議，SaaS系統(tǒng)能否對(duì)租戶數(shù)據(jù)加密，是否使用公開(kāi)的標(biāo)準(zhǔn)加密算法等。4日志及審計(jì)管理。審計(jì)工具會(huì)記錄用戶的登錄和退出時(shí)間、用戶角色、用戶行為等信息。通過(guò)全面的系統(tǒng)日志，能及時(shí)發(fā)現(xiàn)各種平安威脅、異常行為事件，提供事件追責(zé)根據(jù)。企業(yè)可以通過(guò)檢查平安審計(jì)管理

20、策略，判斷云效勞商的平安審計(jì)程度，例如SaaS系統(tǒng)是否支持系統(tǒng)管理員、平安管理員、平安審計(jì)員三元分立，且系統(tǒng)中沒(méi)有同時(shí)擁有3種權(quán)限的超級(jí)管理員，系統(tǒng)日志是否包括系統(tǒng)運(yùn)行日志、系統(tǒng)管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非受權(quán)刪除、修改，能否支持實(shí)時(shí)監(jiān)控搜集到的各類日志等。5數(shù)據(jù)中心平安。數(shù)據(jù)中心是組織信息系統(tǒng)的核心，通過(guò)網(wǎng)絡(luò)系統(tǒng)向效勞對(duì)象提供各種信息效勞。與傳統(tǒng)的數(shù)據(jù)中心相比，在云計(jì)算時(shí)代的數(shù)據(jù)中心的對(duì)平安的要求也在不斷進(jìn)步，包括高性能、彈性擴(kuò)展、可靠性保障、虛擬化和可視化、立體平安防護(hù)等要求。企業(yè)可以通過(guò)檢查數(shù)據(jù)中心管理策略，判斷云效勞商的數(shù)據(jù)中心管理程度，例如是否24小時(shí)持

21、續(xù)看管，有沒(méi)有部署安防監(jiān)控系統(tǒng)、門禁系統(tǒng)，是否記錄訪問(wèn)者的進(jìn)入和分開(kāi)日期、時(shí)間、進(jìn)入理由，計(jì)算、存儲(chǔ)、內(nèi)存等資源池有多大，是否簽署特定的效勞程度協(xié)議ServiceLevelAgreement，SLA等。6變更和配置管理。云計(jì)算環(huán)境下計(jì)算資源被不同的組織共享，在帶來(lái)便利的同時(shí)也增加資源分配的復(fù)雜度，假如未合理有序地處置變更懇求，將對(duì)組織及云效勞用戶造成重大影響。企業(yè)可以通過(guò)檢查變更管理程序，判斷云效勞商的變更配置管理程度，例如對(duì)現(xiàn)有系統(tǒng)進(jìn)展晉級(jí)時(shí)，是否已進(jìn)展變更影響分析，質(zhì)量測(cè)試是否包括的功能測(cè)試、兼容性測(cè)試及性能測(cè)試，新版本的發(fā)布是否采用灰度發(fā)布以實(shí)現(xiàn)平滑過(guò)渡等。7平安事件管理。云計(jì)算按需自效

22、勞、資源池化、多租戶等特性將使信息平安事件管理活動(dòng)更具有直接的挑戰(zhàn)。企業(yè)可以通過(guò)檢查信息平安事件管理程序，判斷云效勞商的信息平安事件管理程度，例如云效勞商是否建立了事故響應(yīng)團(tuán)隊(duì)，能否提供事件響應(yīng)的歷史記錄并協(xié)助查驗(yàn)，能否提供平安事件響應(yīng)方案的測(cè)試記錄等。8供應(yīng)商管理。隨著云計(jì)算這種效勞模型的應(yīng)用，IT供應(yīng)鏈已逐步從產(chǎn)品供應(yīng)鏈向效勞化供應(yīng)鏈轉(zhuǎn)變，產(chǎn)品效勞化供應(yīng)鏈管理的核心和關(guān)鍵問(wèn)題是才能管理。企業(yè)可以通過(guò)檢查供應(yīng)商評(píng)估管理程序，判斷云效勞商的供應(yīng)鏈管理程度，例如能否提供與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議，與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議中是否涉及用戶數(shù)據(jù)保密內(nèi)容及合作到期后用戶數(shù)據(jù)處理方式，是否有對(duì)與上下

23、游供應(yīng)鏈之間的SLA進(jìn)展持續(xù)的評(píng)審等。9業(yè)務(wù)連續(xù)性管理。業(yè)務(wù)連續(xù)性目的是防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保它們的及時(shí)恢復(fù)。企業(yè)可以通過(guò)檢查業(yè)務(wù)連續(xù)性方案來(lái)判斷云效勞商的業(yè)務(wù)連續(xù)性管理程度，例如查看業(yè)務(wù)影響分析表，企業(yè)的關(guān)鍵業(yè)務(wù)過(guò)程和支持性業(yè)務(wù)過(guò)程識(shí)別是否明晰，查看業(yè)務(wù)連續(xù)性測(cè)試報(bào)告，有沒(méi)有對(duì)測(cè)試的結(jié)果進(jìn)展分析和評(píng)估，查看數(shù)據(jù)備份記錄及數(shù)據(jù)備份恢復(fù)測(cè)試記錄等。10公司穩(wěn)定性及增長(zhǎng)性評(píng)估。這幾年，經(jīng)常有企業(yè)級(jí)SaaS效勞商倒閉或被收買，公司一旦倒閉停頓運(yùn)營(yíng)，用戶應(yīng)用及數(shù)據(jù)只能遷移或者喪失。企業(yè)可以通過(guò)調(diào)查云效勞商的客戶流失率、盈利性以及財(cái)務(wù)報(bào)告等資料判斷云效勞商的生存才能。11可移植性和互操作性。假如存在