不要让合规性数据变得模糊不清

首席信息官们一直面临着减少资本资产、员工人数和支持成本的压力，而云计算系统为他们提供了实现这些目标的途径。云系统是IT资源(服务器、数据库和应用程序)的集合，可按需使用，由服务公司提供，可通过internet访问，并在多个用户之间提供资源池。首席信息官们正在寻找将公司内部系统迁移到外部云系统的任何机会，因为云系统可以减少资本资产、IT维护成本和直接人工成本。公司正在使用云系统进行电子邮件、工资单、发票、订购和数据库管理。有50多家云服务提供商，包括亚马逊、谷歌、微软和IBM等巨头。

云计算的一线希望是直接节省成本。然而，当它被应用于制造业务时，云中有一个黑暗的中心。在制造企业中，运营和自动化系统可能是IT预算的主要部分，因此首席信息官将寻求将云计算应用于制造和自动化系统。虽然具有实时响应的关键任务应用程序不适合云系统的应用程序，但制造数据库可能是迁移到云的候选应用程序。

制造业数据库可能非常庞大，拥有数百tb的数据，必须安全维护数年。这似乎是云计算系统的一个很好的候选者，但是云计算光明背后的阴云是大多数外部云计算服务不符合遵从性规则。制造和自动化在大量法规和监管机构下运行，包括OSHA, USDA, FDA和EPA。所有的法规都有数据完整性、安全性、备份和数据不可否认性的要求。这在云计算系统中很难实现，因为您可能不知道数据的实际位置、到达那里的路径、谁真正有权访问数据以及数据的物理安全性如何。

如果您的公司正在研究包含制造数据的云计算解决方案，那么制造IT必须是评估团队的一部分。制造IT团队必须包括熟悉影响您的行业的制造遵从性法规的人员。

评估策略应该包括检查数据隔离(将您的数据与其他公司的数据分开)，审查提供商用于防止内部攻击的数据泄漏预防(DLP)流程，用于在互联网上传输数据并将其存储在磁盘上的加密方法，以及身份管理流程。需要评估的另外两个重要标准是，系统是否可用于物理审计，这可能是法规遵从机构所要求的，以及是否可获得审计期间所需的适当文件。

考虑在您的评估中使用SAS 70(审计准则第70号声明)标准(www.sas70.com)。这些标准定义了审计师为评估服务组织的合同内部控制而采用的标准。大多数云提供商都有SAS 70文档。这并不能告诉您它们是否安全，但确实显示了适当的安全控制。云安全联盟(www.cloudsecurityalliance.org)还定义了一套最佳实践，以提供云计算系统的安全保障。

即使是最好的安全性和数据完整性流程和程序也可能不足以满足您的合规性数据。确保您公司的法律顾问参与合规性数据的任何“云化”，以确保合规性问题的风险与将数据迁移到云中所节省的成本相平衡。

作者信息

丹尼斯·布兰德是北卡罗来纳州卡里市BR&L咨询公司的总裁，网址是www.brlconsulting.com。他的公司专注于制造IT。联系丹尼斯:dbrandl@brlconsulting.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。