為云計算實施設(shè)計一個端到端的安全措施可從制定一個安全的戰(zhàn)略計劃入手。這個戰(zhàn)略計劃的結(jié)果就是形成在財務(wù)上和法務(wù)上保護(hù)組織所需的行政和管理控制措施。

保護(hù)云計算基礎(chǔ)設(shè)施可從提供治理、政策和／或規(guī)則、政策執(zhí)行以及確保如何保護(hù)信息的控制措施入手。設(shè)計和交付這樣一個戰(zhàn)略計劃的方法有很多個，在本文中，我們將介紹如何使用一個兩步法來制定這樣一個戰(zhàn)略。首先，我們將回顧一下如何理解一個組織的業(yè)務(wù)模式，然后就根據(jù)業(yè)務(wù)模式來制定一個云計算安全的戰(zhàn)略計劃。

了解你的業(yè)務(wù)模式

一個業(yè)務(wù)模式描述了一家組織如何創(chuàng)建、交付以及捕獲價值以保持競爭力和盈利能力的基本原理。為了制定出最好的保護(hù)戰(zhàn)略，了解你的組織的業(yè)務(wù)模式是非常重要的，因為業(yè)務(wù)模式定義了業(yè)務(wù)和保護(hù)目標(biāo)的優(yōu)先級。

即使你的組織并沒有一個公開發(fā)布的業(yè)務(wù)模式，也會有人能夠根據(jù)組織的業(yè)務(wù)策略進(jìn)行推斷來得出其業(yè)務(wù)模式，而組織的業(yè)務(wù)策略通常每年都會在組織內(nèi)部共享。所謂業(yè)務(wù)策略，就是指為企業(yè)提供長期目標(biāo)、目的以及成果的計劃，進(jìn)而實現(xiàn)組織長期的成功。目標(biāo)定義了組織的產(chǎn)出，并對其中的主要產(chǎn)出給出了量化指標(biāo)。目的則是提供了實現(xiàn)組織產(chǎn)出而需經(jīng)歷的可度量的步驟，它給出了實現(xiàn)目標(biāo)的最終產(chǎn)品，并確定了客戶的需求。通過綜合前者和現(xiàn)有的組織結(jié)構(gòu)圖與關(guān)鍵路徑問題，就能夠建立一個組織的業(yè)務(wù)模式。

圖1

其結(jié)果就是一個標(biāo)識從業(yè)務(wù)到生產(chǎn)輸出所需輸入的框架。業(yè)務(wù)模式的輸入包括：關(guān)系、價值主張、關(guān)鍵活動、關(guān)鍵資源、關(guān)鍵合作伙伴以及成本結(jié)構(gòu)。其輸出包括：渠道、收益流以及客戶群。圖1顯示了使用關(guān)系影射方法根據(jù)業(yè)務(wù)戰(zhàn)略制定業(yè)務(wù)模式的一個示例。

向業(yè)務(wù)模式靠齊是實現(xiàn)成功的關(guān)鍵因素。對于云計算或其它來說，信息安全并不會驅(qū)動業(yè)務(wù)發(fā)展，它會支撐業(yè)務(wù)發(fā)展。無論是主動還是被動的，有意識還是無意識的，我們制定信息安全的戰(zhàn)略、框架和路線圖都是為了支持業(yè)務(wù)，并最終支持業(yè)務(wù)的驅(qū)動因素。業(yè)務(wù)驅(qū)動因素形成了保護(hù)業(yè)務(wù)模式，而它也是業(yè)務(wù)模式和業(yè)務(wù)戰(zhàn)略的輸出。一個業(yè)務(wù)模式中包含了輸入和輸出的相同總體框架，其間的差異在于其重點是基于系統(tǒng)的保護(hù)。

例如，有一家專業(yè)從事家庭酒類遞送業(yè)務(wù)的公司。公司正在開發(fā)一個客戶關(guān)系管理應(yīng)用程序，以便于讓客戶能夠與銷售人員就虛擬品酒、酒類排名、酒類搜索、提交貨款以及交付時間表等問題進(jìn)行交互。從企業(yè)的角度來看，他們需要一個安全的應(yīng)用程序來保護(hù)客戶的個人資料數(shù)據(jù)，并滿足與支付卡行業(yè)規(guī)定相關(guān)的合同協(xié)議。但是，目前的網(wǎng)絡(luò)設(shè)計并不支持支付卡行業(yè)的隔離要求，那么就必須更新該網(wǎng)站的使用條款。價值主張支持全面的安全和風(fēng)險管理計劃，它包括遠(yuǎn)景規(guī)劃、差距分析、項目管理、威脅建模以及安全措施設(shè)計等。

圖2

業(yè)務(wù)價值主張從本質(zhì)上來說是動態(tài)的，而保護(hù)計劃業(yè)務(wù)模式則是相對靜態(tài)的。關(guān)鍵資源是可控因素（例如，團隊），它提供了價值主張。關(guān)鍵合作伙伴是那些在企業(yè)內(nèi)部你希望他們提供業(yè)務(wù)驅(qū)動因素的人。圖2顯示了一個可跨多個行業(yè)使用的安全計劃的業(yè)務(wù)模式。

你的業(yè)務(wù)模式必須具有與支持業(yè)務(wù)和客戶相關(guān)的明確功能（例如人員、流程以及技術(shù)等）。

設(shè)計你的戰(zhàn)略

圖3

這個戰(zhàn)略是為支持實現(xiàn)組織目標(biāo)和解決差距問題的一個計劃。這個戰(zhàn)略具體涉及：展示定位、驗證動機、設(shè)置活動背景以及描述具體戰(zhàn)術(shù)等。它確定了支持組織業(yè)務(wù)戰(zhàn)略中所需的4W1H，即什么、誰、如何以及為什么。你的戰(zhàn)略應(yīng)遵循組織的戰(zhàn)略，其生命周期可能更短。如果業(yè)務(wù)戰(zhàn)略的生命周期為3至4年，那么你的戰(zhàn)略應(yīng)為2至3年。在最后的一年，應(yīng)針對更新的組織戰(zhàn)略進(jìn)行重新評估和重新規(guī)劃。它是使用如圖3中所示基于邏輯的價值鏈方法來建立的。

業(yè)務(wù)驅(qū)動因素將推動戰(zhàn)略水平發(fā)展。而在縱向上，客戶被影射并與驅(qū)動因素相關(guān)聯(lián)。其結(jié)果是與業(yè)務(wù)一致的，并確保達(dá)成業(yè)務(wù)目標(biāo)。這是一個充分利用優(yōu)勢并確定發(fā)展機會的工具。

保護(hù)云計算可從建立管理控制措施方面入手：業(yè)務(wù)模式與戰(zhàn)略。一經(jīng)查實，這些控制措施的目的就是要形成管理控制措施：政策、程序、標(biāo)準(zhǔn)以及指導(dǎo)原則。這些控制措施將形成發(fā)展路線圖和選擇與實施技術(shù)控制措施的戰(zhàn)術(shù)，其中包括：安全控制措施和符合業(yè)務(wù)戰(zhàn)略。這是一個針對云計算供應(yīng)商和客戶促進(jìn)端到端安全性的模式。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900