數位轉型浪潮中,持續上雲已成為轉變業務模式的關鍵選項。國內資訊服務業者,也積極透過混合雲管理、產業雲、雲端安全等,各種解決方案擴展延伸業務,混合多雲架構更成為企業拓展營運服務的佈署策略,面對多雲環境的複雜,許多企業在使用雲端之後,經常不知道如何對雲端進行治理,因此雲端治理是為強化企業進行雲端策略規畫,以及營運永續與服務韌性的重要戰略。
我們以金融產業為例,金融主管機關金管會推動金融創新、強化金融業數位韌性,除了公布金融三業 ( 銀行、保險和證券 ) 統一上雲的委外規範,也同時要求金融機構在使用雲端服務時,需依照雲端服務管理辦法,建立完善的雲端服務治理架構。主管機關也大幅鬆綁並簡化上雲申請流程,其旨一方面鼓勵金融業者多運用金融科技發展創新服務,二來期許金融業成為火車頭,帶動其他產業展開新一波加速上雲的浪潮。
國內長期以資安服務為主的廠商,安碁資訊總經理吳乙南表示金融機構使用雲端服務管理辦法,對於一般企業也可以參考,其中主要包含針對雲端服務的使用目標、範圍、權責、管理流程等制定治理政策及風險管理架構;其次,針對雲端業者的管理框架,審查業者的經驗與能力,簽訂合約確認雙方權益義務,評估考量對公司治理和運營模式的影響,
吳乙南進一步說明為確保雲端服務的資安控管措施,除了採取安全的雲端服務平台,導入零信任機制及定期更新安全漏洞,並針對雲端服務的資安控管措施、符規性、營運可靠度定期進行稽核,對於面臨駭客無預警的網路攻擊,還需建立重大事件通報流程及緊急應變處理機制,以因應雲端服務發生重大事件可以有效應對,最後也是企業需長期不懈怠就是針對使用雲端服務相關人員進行資安意識培訓。因此,整體而言透過落實以上雲端管控重點,透過系統性規劃與資安演練,對企業採用雲端科技發展業務不僅提升服務效率時也兼顧雲端安全的防護。
企業透過雲端服務確實能擁有許多靈活彈性應用且讓企業專注於核心業務上,但是吳乙南進一步提醒,雲端的使用改變了傳統 IT 治理流程,雲端治理的制定,若礙於人力和技術的不足,無法跟上雲端佈署的變化,企業也不能完全將治理委託給 CSP ( Cloud Service Provider ) 雲端服務商 ,企業仍應保留治理的責任。因此建議企業在規劃上雲策略時,就要把雲端治理與公司業務發展戰略進行整合,評估合適的 CSP 服務商,以確保未來的業務需求能夠落實。
總結我們可以觀察到企業上雲除了因應不斷演變的技術、風險和符規性的需求,持續推動雲端治理的機制和解決在雲端服務產生的資安疑慮也須納入,同時企業數位轉型上雲的戰略目標能夠有合適企業自身的雲端服務商也是重要不可或缺的一環。
首圖來源: Image by Vicki Hamilton from Pixabay
