你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

了解云安全策略和标准的功能

团队编写安全策略和标准，批准及发布安全策略和标准，以指导组织内的安全决策。

策略和标准应：

• 详尽反映组织的安全策略，以指导各个团队制定组织决策
• 提高整个组织的工作效率，同时降低组织业务和任务带来的风险

安全策略应反映符合组织安全策略和风险容忍度的长期可持续目标。 策略应始终解决：

• 法规符合性要求和当前符合性状态（已符合要求、已接受风险等。）
• 对当前状态的体系结构评估以及在技术上可以设计、实施和执行的内容
• 组织文化和偏好
• 业界最佳做法
• 分配给对其他风险和业务成果负责的适当业务利益干系人的安全风险责任。

安全标准定义支持安全策略执行的流程和规则。

现代化

虽然策略应保持不变，但标准应该是可变化的且应不断重新审视，以随时应对云技术、威胁环境和业务竞争格局的变化。

由于变化率较高，因此应该密切关注有多少例外情况发生，因为这可能表明需要调整标准（或策略）。

安全标准应包括特定于云采用的指导，例如：

• 安全使用云平台来托管工作负载
• 安全地使用 DevOps 模型，并添加正在开发的云应用程序、API 和服务
• 使用标识外围控件来补充或替换网络外围控件
• 在将工作负载移动到 IaaS 平台之前，定义分段策略
• 对资产的敏感度进行标记和分类
• 定义评估过程，确保正确配置并保护资产

团队组成和关键关系

云安全策略和标准通常由以下类型的角色提供。 组织政策应告知（并了解）：

• 安全体系结构
• 合规性和风险管理团队
• 业务部门的领导层和代表
• 信息技术
• 审核和法律团队

策略应基于来自整个组织的多个输入/要求进行优化，包括但不限于安全概述关系图中描述的输入/要求。

后续步骤

查看云安全运营中心 (SOC) 的功能。