信息化 频道

应用云化 如何选择合适的云服务提供商

  【IT168信息化】如果你现在想迁移到云环境里,那么包括基础设施,关键应用和敏感数据等的迁移都将是一个非常艰难的过程,如何选择合适的云服务提供商将会显得非常重要,以下这些准则可以帮助你做出正确的选择。

  许多组织已经在进行尝试应用云计算,还有一些人想投石问路,但无论你是否已经应用云计算,妥善审批你的云服务提供商是至关重要的。IT行业协会CompTIA的一个最近的一项研究发现,许多组织都关心他们在云中的数据的安全性,少数公司会依照相关协议对自己的云服务提供商进行全面的检讨。

  MSPAlliance联合创始人和总裁查尔斯·韦弗韦弗说,考虑了云服务提供商的组织应该关注以下三方面:

  信任。 “通过亲和力,建立一种非常亲密的关系,这里还需要一个相互尊重,相互信任,共同努力。”

  技术专长和理解。云服务提供商,要有精通的技术和了解您的业务。 “他们必须有一个专家,能够理解你打算做什么和如何配合你们的技术专长,”韦弗说。 “如果你是银行的CIO,你需要一些您的IT外包战略要素,您的MSP需要了解银行,无论是你要外包。”

  一个第三方的合规性审核。云服务提供商必须能够证明他们能够不辜负他们的承诺。 “在一个云世界里,管理一家公司的敏感数据和您的最终用户,需要通过更加严格的审查和持续的监管,”韦弗说。虽然他不相信更多的政府监督,将有助于在云服务空间,但他相信组织应该能够提供相关审计能力。

  那么你应该期望在审核?在的MSPAlliance云提供了统一的认证标准(UCS)和托管服务提供商。组织可以使用UCS的11个控制目标为指导,应该如何评判供应商。控制目标如下:

  供应商的组织,管理,规划和风险管理。供应商它有一个正式的组织结构图,风险评估,政策分析的第三方服务供应商和供应商的正式进程,并提供足够的职责分工的组织结构和管理结构。

  记载的政策和程序。提供者有证明文件的政策和程序,每年审查和更新,要求员工必须证明,并签署,他们理解和坚持的政策和程序,新员工必须接受正式的训练方法,教育和测试标准。

  服务变更管理。供应商必须有服务变更管理文件,在正式的变更控制。 MSPAlliance建议包括文件,如果适用,容量规划和修改,供应商和客户端配置。该认证还需要记录客户端改变管理政策的基础上由供应商交付到客户端的服务水平。

  事件管理。提供商必须有足够的工作人员与训练有素的人员能够提供必要的监测和管理,以识别并解决问题或事件,由供应商和客户之间的服务水平协议(SLA),覆盖网络操作中心(NOC)的访问。此外,供应商必须能够证明存在的问题管理系统,包括一个服务台和监控/管理系统集成的票务平台。此外,提供有能够表明它定期事件报告的内部审查。

  逻辑安全。授予用户访问的供应商和客户机的信息系统和数据必须根据既定的政策和程序,并重新分配或终止的员工必须具备的基础上建立和记录的政策和程序撤销其访问。提供商有记录显示用户身份验证控制信息系统和数据,包括密码策略和上层管理人员审查,控制内部和远程访问。此外,供应商必须有一个管理员的ID政策,供供应商和第三方准入政策的记录和上层管理人员审查。这适用于操作和数据中心以及信息系统和数据的物理访问。此外,供应商必须有第三方的供应商或客户信息系统的评估。

  变更管理。该认证要求提供证明信息系统的变化,包括正式请求过程的记录和正式变更管理政策和程序,记录,审批,测试和验收变化,在实施之前。下一个正式的审查过程中,紧急变更的供应商还必须证明。

  数据的完整性。服务商表明它有足够的信息安全政策和程序的有效运作,严格审查的政策和程序更新,每年批准和传达给供应商的人员,这包括数据备份和保留政策。

  物理和环境安全。供应商必须有政策,物理访问其IT资产,包括在适用设施的访问者/旅客日志记录。供应商有终止的员工和那些改变立场的供应商和客户端设备访问的控制显示记录。物理访问一地两检的硬件维护其设施供应商必须显示记录的政策,并在每个设施,它必须执行的物理安全性评估,每年,包括跟踪和解决任何和评估期间确定的所有问题。此外,必须保护其奥委会和数据中心使用维修合同,维修和测试的环境保障的破坏性事件。NOC必须有有效的连接和电源的裁员,包括成文的灾难恢复/业务连续性计划。

  服务水平协议。供应商必须能够证明,它采用与客户签订的SLA和足够的控制,存在向客户提供的服务进行跟踪和监视。该控件还必须跟踪供应商的系统内修改客户端的设置。

  客户报告和计费。供应商必须能够证明,它使得按照签署的SLA,包括能给客户提供性能报告。

  财务状况。供应商必须能够证明它是在一个稳定和健康的财务状况,具有至少6个前几个月的盈利,或者它必须表现出足够的资金,以证明在盈利的情况下稳定。

0
相关文章