观点 | 英国审计署云服务审计指南及启示
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 /中国人民银行荆门市中心支行 高博
2021年4月30日,英国审计署发布了最新版的《云服务审计指南》,自发布第一版指南以来,越来越多的公共部门转向云服务。近年来,政府对主要云服务提供商的支出有所增加,第一版的指导意见很受欢迎,政府也推动了“政府云战略”,随着云服务的不断发展和演变,指南随之进行了更新。
云服务新模式
1.云服务是通过互联网访问的系统和数据。这与传统的系统不同,在传统系统中,硬件和软件是在一个组织的内部维护并通过专用连接访问的。云服务并不是一个新概念,其存在已经超过20年。早期,如通过网络浏览器访问电子邮件(1996年推出的Hotmail)。近年来,更好、更快的互联网技术为云服务创造了新的机会,云服务可用于更广泛的领域,包括商业和金融系统。
2.云计算引入了新的运营模式。从资本成本和固定使用转移到更灵活的模式,如随走随付,将更多的成本转移到运营支出。
3.可以通过以下类型的云部署提供云服务。
公共云:云提供商拥有并运行云系统,通过互联网向任何希望注册的人提供服务。许多客户(称为租户)共享相同的底层硬件、存储和网络设备,并通过一些技术措施来维护属于不同租户的数据分离。云服务仅被一个云服务使用者使用,且资源被该云服务使用者控制的一种云部署模式。
私有云:云提供商为单个客户提供特定云系统的专用使用。因为资源不与他人共享,这提供了对环境的增强控制。虽然该模型具有安全优势,但它比公共云更昂贵。
社区云:是在有限的组织社区之间共享专用服务的地方,这些组织在安全、隐私、性能和合规性方面有共同的需求,并共同承担服务的成本。
混合云:涉及一种组合,其中一些应用程序和服务运行在一个云中,而其他应用程序和服务运行在另一个云中。在需要交换数据的地方创建这些代码可能很复杂,也很有挑战性。
4.公共和私营组织越来越多地采用云服务。目的是提高效率并改变其运营方式。各机构可能也在寻求一种新方式来降低成本。云服务应该能够节省成本,但这取决于正确设计和实施云服务。
5.详细的云指南是可用的。指南提供对审计委员会的其他相关支持,包括对审计委员会的网络安全和信息风险指导,以及对审计委员会的转型指导。
6.指南帮助审计委员会成员关注的相关问题。云服务评估—本节将云服务视为组织和数字战略的一部分,还包括商业案例流程;云服务实施—本节涵盖系统配置、数据迁移和服务风险与安全;云服务的管理和优化—本节涵盖运营注意事项、第三方保证的需求以及管理实时运行所需的能力。
7.政府支持向云计算的转变。云计算服务在公共和私营部门的普及程度持续上升,然而,一些组织可能缺乏能力和专业知识来选择适合自己的服务,安全地实施它们,并有效地管理和优化它们。特别是,转移到云的成本,以及有效管理和优化云解决方案所需技术和流程所需投资。所需要的技能不仅仅是技术性的,团队可能需要额外的商业技术来理解和管理组织签约的云服务。
8.管理良好的云服务可能比本地或“本地”技术更安全。两者的风险级别大致相同,但云提供商可以利用规模经济和专业技术的集中,提供一种安全级别,这在经济上或运营上对许多组织来说都是难以单独提供的。云服务提供商在安全方面投入巨资,否则他们的业务将面临风险。然而,客户不应认为云提供商可以代替他们应对安全的所有方面,这一点怎么强调也不过分。由于客户未能正确理解自己在确保云服务安全方面所扮演的角色,使得数据向更广泛的受众开放,已经出现了一些数据泄露事件。在云环境中成功实现安全的关键是理解云提供商的责任在哪里结束,客户的责任在哪里开始。
9.云服务的实施不是一劳永逸的事情。虽然云计算可以节省资金,但组织不应该在没有对运营总成本进行详细分析情况下就认为这永远是可行的。例如,将现有应用程序“直接迁移”到云托管可能需要进一步的工作,以确保对其进行优化,以最大限度地利用云环境可以提供的便利。
10.指南在不断发展,组织应确保他们了解最新的发展。政府云战略(OGCS)是一项持续的举措,已经交付了多项与云相关的成果,包括云手册、云备忘录和在线共享工作空间。
云服务审计关注的主要内容
1.云服务评估。在选择云解决方案之前,组织需要评估哪些方案适合他们的需求和目标。云服务提供商正在市场上大力推广他们的服务。对于决策者来说,要对各种云服务的相对优点和潜在缺陷形成清晰的看法可能是一项挑战。管理层需要为成功设定明确的标准,以便通过评估选择最合适的供应商。一个成功的数字战略应该是更广泛的组织愿景和战略核心。许多组织现在正在开发云策略,管理层首先应该制定强有力的组织和数字战略,并对其技术要求建立清晰的看法。较小的机构可能会发现,聘请服务公司的专业知识帮助他们理解和驾驭各种选择是有益的。
审计关注的主要内容:团队是否清楚了解所开展业务活动的实际运营情况?运营专家是否花时间支持团队制定战略?它是否解决了诸如招聘、技能和开发等资源方面的问题,以便在迁移或之后维护和优化云服务?
2.云服务的实施。云服务和提供商的成熟度水平可能有所不同,配置也可能很复杂。管理层需要确信它已经解决了与云服务实施相关的风险。未能正确配置云服务可能会严重阻碍收益的实现,并使组织面临数据泄露的风险。云环境中的潜在变化和创新可能使配置比本地网络更具挑战性。正确的配置对于云和旧系统的高效、安全地操作和通信至关重要。较小的组织不太可能拥有足够的专业知识和能力来管理新系统的配置,此类组织需要制定稳健的计划。
审计关注的主要内容:是否有强有力的治理和项目管理计划?组织是否遵循配置最佳实践?是否明确记录了迁移到云的过程,以确保了解任何更改?是否在上线前完成并记录了实施前测试?组织是否过度依赖第三方资源?技术风险是否包含明确的责任和防范措施?组织是否制定了一份协议和行动计划,以应对诸如来自内部人士的威胁、数据拦截、数据泄露、不安全的数据删除、拒绝服务(DoS)攻击和丢失加密密钥等风险?
3.云服务的管理和优化。迁移到云服务应该会减少以前内部管理时实时服务所需的能力。云服务提供商负责基础设施管理和维护以及软件修补和更新。他们为用户和技术人员提供帮助和支持。然而,需要新的能力来理解、管理和解释云服务与组织之间的接口。组织不能将数据治理和金融及其他交易控制的责任外包,也不能将数据安全的责任外包,包括对来自云提供商的监控信息和警报的解释。许多组织还选择修改其使用的服务,这可能会增加对内部服务管理的持续需求。上线后可能会有一段时间会遇到一些问题,因为积压的需求需要时间来解决。在这些阶段,持续的变更管理将非常重要,以确保用户和系统接口或配置的任何进一步变更。对云提供商和内部团队进行强有力的治理是很重要的。因此,与本地环境相比,云环境可能更动态,更改和更新的频率和数量更大。该组织在接受这些更新方面的控制程度将较低。
审计关注的主要内容:是否存在任何暴露安全弱点的未解决的集成问题?对云计算供应商的计划是否有明确的监督?组织是否评估计划变更对业务的影响?内部团队是否将继续依赖第三方支持来管理关键报告和系统流程?是否打开了日志和审计功能以提供跟踪信息?如果云提供商对其系统或控制进行重大更改,是否有触发条款要求云提供商获取新报告?管理层是否仔细审查了服务组织控制报告的结果?
对人民银行的启示
在人民银行金融科技委员会2020年第1次会议中强调,要强化监管科技应用实践,积极运用云计算等技术加强数字监管能力建设,不断增强金融风险技防能力,提升监管专业性。近年来,人民银行各分支机构结合自身实际,积极探索开展云化工程项目,如:为提升科技运维水平、增强业务连续性保障、减少信息安全风险点、有效降低能源消耗,开发应用云办公系统;为更有效监控数据中心及大数据平台等相关软、硬件系统运行状态,开发应用云智能监控系统;以数据、运维集中为原则,推动数据中心向私有云架构转型,开发应用基于H3C的私有云平台建设等。尽管云计算技术在人民银行多个领域、多项业务中得到了应用,产生了较好的效果,但云化工程仍处在摸索阶段,如何对其进行有效监管、监督,防范和化解其中的风险,是值得关注的问题。人民银行内部审计部门应不断加强对云计算等技术知识的学习和更新,广泛吸收和借鉴英国审计委员会云服务审计指南等国际先进理论和实务,并结合人民银行自身实际,建立健全云服务审计指南、审计操作手册等,配套建立涉及云平台建设规划、制度建设、组织架构、开发、部署、测试、运行、管理、运维等全生命周期审计指南分册,精准化的推动和指导内审部门组织开展好云服务审计实践,为坚决打赢金融风险防控攻坚战发挥内部审计应用的审计监督、咨询服务、组织治理作用。
(栏目编辑:马俊)
往期精选:
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧