详细内容或原文请订阅后点击阅览
网络安全:特定机构需要更好地保护云数据
GAO 的发现四个选定的机构——国务院、交通部、退伍军人事务部 (VA) 和小企业管理局 (SBA)——在实施和确保承包商遵守三项关键云安全实践方面的努力各不相同。具体而言,一个机构已为其两个系统全面实施了所有三种实践,而一个机构已为其其中一个系统全面实施了所有三种实践。这些机构部分实施了其余五个系统的实践(见图)。各机构实施关键云安全实践a出于敏感性考虑,GAO 未在本报告中披露所选系统的名称。系统通过其云服务模型进行识别。例如,机构对八个选定系统中的三个进行了全面的连续监控。尽管大多数机构制定并实施了持续监控计划,但他们并不总是审查提供商的持续监控交付成果。各机构在八个系统中的五个系统中全面实施了有关服务水平协议的做法。对于其余三个系统,各机构的协议没有一致地定义绩效指标,包括如何衡量和执行机制。全面实施关键实践将支持各机构努力确保其云系统中机构信息的机密性、完整性和可用性。例如,如果没有强大的连续监控
来源:美国政府问责局__信息安全信息GAO 发现了什么
四个选定的机构——国务院、交通部、退伍军人事务部 (VA) 和小企业管理局 (SBA)——在实施和确保承包商遵守三项关键云安全实践方面的努力各不相同。具体而言,一个机构已为其两个系统全面实施了所有三种实践,而一个机构已为其其中一个系统全面实施了所有三种实践。这些机构部分实施了其余五个系统的做法(见图)。
机构实施关键云安全实践
a出于敏感性考虑,GAO 未在本报告中披露所选系统的名称。系统通过其云服务模型来标识。
例如,各机构对八个选定系统中的三个进行了全面的连续监控。尽管大多数机构制定并实施了持续监控计划,但他们并不总是审查提供商的持续监控交付成果。各机构在八个系统中的五个系统中全面实施了有关服务水平协议的做法。对于其余三个系统,各机构的协议没有一致地定义绩效指标,包括如何衡量和执行机制。
全面实施关键实践将支持各机构努力确保其云系统中机构信息的机密性、完整性和可用性。例如,如果没有强大的持续监控计划,各机构识别和减轻控制缺陷和新出现威胁的能力可能会下降。此外,这些机构可能无法及时检测未经授权的访问尝试或异常活动,从而使关键系统和数据面临威胁。