如何为云计算安全制定一个业务战略？

为云计算实施设计一个端到端的安全措施可从制定一个安全的战略计划入手。这个战略计划的结果就是形成在财务上和法务上保护组织所需的行政和管理控制措施。

保护云计算基础设施可从提供治理、政策和/或规则、政策执行以及确保如何保护信息的控制措施入手。设计和交付这样一个战略计划的方法有很多个。在本文中，我们将介绍如何使用一个两步法来制定这样一个战略。首先，我们将回顾一下如何理解一个组织的业务模式，然后就根据业务模式来制定一个云计算安全的战略计划。

了解你的业务模式

一个业务模式描述了一家组织如何创建、交付以及捕获价值以保持竞争力和盈利能力的基本原理。为了制定出最好的保护战略，了解你的组织的业务模式是非常重要的，因为业务模式定义了业务和保护目标的优先级。

即使你的组织并没有一个公开发布的业务模式，也会有人能够根据组织的业务策略进行推断来得出其业务模式，而组织的业务策略通常每年都会在组织内部共享。所谓业务策略，就是指为企业提供长期目标、目的以及成果的计划，进而实现组织长期的成功。目标定义了组织的产出，并对其中的主要产出给出了量化指标。目的则是提供了实现组织产出而需经历的可度量的步骤，它给出了实现目标的最终产品，并确定了客户的需求。通过综合前者和现有的组织结构图与关键路径问题，就能够建立一个组织的业务模式。

图 1 建立业务模式的关系影射.jpg

其结果就是一个标识从业务到生产输出所需输入的框架。业务模式的输入包括：关系、价值主张、关键活动、关键资源、关键合作伙伴以及成本结构。其输出包括：渠道、收益流以及客户群。图1显示了使用关系影射方法根据业务战略制定业务模式的一个示例。

向业务模式靠齐是实现成功的关键因素。对于云计算或其它来说，信息安全并不会驱动业务发展，它会支撑业务发展。无论是主动还是被动的，有意识还是无意识的，我们制定信息安全的战略、框架和路线图都是为了支持业务，并最终支持业务的驱动因素。业务驱动因素形成了保护业务模式，而它也是业务模式和业务战略的输出。一个业务模式中包含了输入和输出的相同总体框架，其间的差异在于其重点是基于系统的保护。

例如，有一家专业从事家庭酒类递送业务的公司。公司正在开发一个客户关系管理应用程序，以便于让客户能够与销售人员就虚拟品酒、酒类排名、酒类搜索、提交货款以及交付时间表等问题进行交互。从企业的角度来看，他们需要一个安全的应用程序来保护客户的个人资料数据，并满足与支付卡行业规定相关的合同协议。但是，目前的网络设计并不支持支付卡行业的隔离要求，那么就必须更新该网站的使用条款。价值主张支持全面的安全和风险管理计划，它包括远景规划、差距分析、项目管理、威胁建模以及安全措施设计等。

图 2信息安全的业务模式.jpg

业务价值主张从本质上来说是动态的，而保护计划业务模式则是相对静态的。关键资源是可控因素(例如，团队)，它提供了价值主张。关键合作伙伴是那些在企业内部你希望他们提供业务驱动因素的人。图2显示了一个可跨多个行业使用的安全计划的业务模式。

你的业务模式必须具有与支持业务和客户相关的明确功能(例如人员、流程以及技术等)。

设计你的战略

图 3 信息安全战略.jpg

这个战略是为支持实现组织目标和解决差距问题的一个计划。这个战略具体涉及：展示定位、验证动机、设置活动背景以及描述具体战术等。它确定了支持组织业务战略中所需的4W1H，即什么、谁、如何以及为什么。你的战略应遵循组织的战略，其生命周期可能更短。如果业务战略的生命周期为3至4年，那么你的战略应为2至3年。在最后的一年，应针对更新的组织战略进行重新评估和重新规划。它是使用如图3中所示基于逻辑的价值链方法来建立的。

业务驱动因素将推动战略水平发展。而在纵向上，客户被影射并与驱动因素相关联。其结果是与业务一致的，并确保达成业务目标。这是一个充分利用优势并确定发展机会的工具。

保护云计算可从建立管理控制措施方面入手：业务模式与战略。一经查实，这些控制措施的目的就是要形成管理控制措施：政策、程序、标准以及指导原则。这些控制措施将形成发展路线图和选择与实施技术控制措施的战术，其中包括：安全控制措施和符合业务战略。这是一个针对云计算供应商和客户促进端到端安全性的模式。