服务水平协议对制造组织的影响

与云服务提供商(CSP)之间的服务水平协议(SLA)是云服务客户(CSC)和CSP之间必须充分理解和协商的实时文档，以便制造组织(CSC)能够管理和满足云中的所有安全和法规遵从性需求。当制造组织与CSP签署SLA作为具有法律约束力的协议时，不应该因为事情没有完成而停止。它们实际上从来没有完成过。

管理SLA是一个持续的过程，应该不断地监控、更新和改进以满足制造组织的业务需求。这是一个至关重要的过程，因为它为持续改进提供了许多机会，以满足制造组织的法定、法规和合同义务。

当我们从SLA的角度谈论云中的敏感业务数据和软件应用程序时，请记住，制造组织拥有合法所有权，并完全控制存储在云中的数据资产，而不管它们托管的物理位置。此外，CSP通常根本不提供对数据的访问。大多数csp实际上声称，他们甚至不知道制造组织在云中存储了什么数据。

另一方面，CSP在法律上有责任根据SLA保护其客户(即制造组织)拥有的任何托管数据资产，因此CSP不能在客户不知情的情况下删除、修改、复制甚至出售客户数据。

CSP处理敏感数据和软件应用程序的方式可能有所不同。这是制造组织需要调查的内容，以帮助确保所提供的功能在安全性和法规遵从性方面满足特定的业务利益。

例如，制造组织必须确定的一件事是，数据在传输到云中或从云中传输时是否加密(传输中的数据)，任何数据在被软件应用程序使用时是否加密(使用中的数据)，以及数据在存储在云中时是否加密(静止数据)。

法规要求会影响适当云计算环境的配置和选择。根据行业部门的不同，对制造组织的监管要求之一可能是制造商的数据必须在国家边界内。

存储数据的物理位置

然而，CSP可能无法准确地确定数据的物理存储位置，特别是在实现冗余云基础设施时。用于存储和处理制造商数据的服务器的物理位置可能成为一个关键的合同问题。换句话说，当涉及到云计算时，似乎出现的最大问题之一是制造商的数据在物理上的确切位置。它可能存储在不同国家的数据中心服务器上。

这可能是一个棘手的问题，因为根据行业和组织在云中存储的内容，制造组织可能有许多安全或法律原因，以确保数据存储在国界内的数据中心，并由特定国家的公民在国内操作。

因此，这实际上取决于制造组织在云中做什么，以及制造组织从事什么类型的业务。至少，必须在CSP和制造组织之间的SLA下明确定义存储数据的物理位置的要求。为了成功采用云计算服务，制造企业需要确保CSP是值得信赖的，并采取一切可能的预防措施来减少漏洞并保护关键资产。这种保证通常以CSP获得的行业认可的安全认证(例如ISO 27001)的形式出现，确认他们符合某些标准和法规，并向制造组织提供审计报告的访问权限。

通过有效的风险管理和符合监管要求(包括法律责任和标准)的结合，可以实现有效且可信的云环境。csp和csc双方都被要求满足法律要求和标准，但这必须从两个不同的角度考虑。

从CSP的角度来看，他们必须满足管理自己业务的法律和法规，以及SLA定义的法律义务。例如，如果法律不允许，CSP不能在本国境外复制数据，也不能将数据出售给其他人牟利。

另一方面，CSC必须满足与之有业务往来的组织和监管机构的监管要求。

就标准而言，这主要与csp有关，因为他们希望吸引制造组织进行业务往来。例如，每个CSP都应该遵循的基本标准之一是ISO 27001。

然而，制造组织不需要通过ISO 27001认证，因为在ISO 27001和其他标准、建议和最佳实践中有很多元素，制造组织可以使用它们来保护其数据和软件应用程序，同时满足法规遵从性要求。

戈兰·诺夫科维奇，梅萨国际。本文最初发表于MESA International的博客．MESA International是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com。

在线额外

查看作者的其他文章，链接如下。

原始内容可以在blog.mesa.org．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。