評估雲端治理風險
在建立新原則或更新現有原則之前,您需要評估雲端風險,以協助定義新的或更新的原則。 若要有效地評估雲端中的風險:
識別風險並加以編輯目錄。 使用 Azure 工具來列出雲端資產並探索雲端風險。
分析風險並將定性或量化值指派給每個風險。 依嚴重性排定風險的優先順序。
判斷風險的影響,例如停機時間或成本。
文件風險,並通知貴組織中所有必要的合作對象風險。
定期檢閱風險,並回應事件,以確保它們保持有效且準確。
風險和高風險區域的範例
隨著工作負載的擴充,風險通常會增加。 請考慮採用工作的各個時間點風險層級的下列範例:
在早期實驗期間,您會部署一些幾乎沒有相關資料的資產。 風險很小。
當您部署第一個工作負載時,風險會稍微增加。 若要補救風險,您可以透過選擇只有少數使用者且本質上低風險的應用程式。
更多工作負載上線時,風險會在每次發行時有所變化。 隨著新的應用程式上線,風險可能提升。
在公司將前 10 個或 20 個應用程式上線時,其風險與公司在雲端中將第 1000 個應用程式投入實際執行環境時低。
在雲端風險評估期間,您必須判斷哪些風險是首要任務。 請考慮下列最常發生風險的區域。
| AI | 請考慮與 AI 系統使用、存取和輸出相關聯的風險。 定期測試 AI 系統,並納入 AI 自動化風險識別工具。 |
| 成本管理 | 成本是雲端使用者的主要考量。 開發適用於所有雲端平台的成本控制原則。 |
| Data | 資料管理對於降低安全性風險很重要。 請確定您已正確加密資料,並使用 Azure 工具來管理資料生命周期原則。 |
| Operations | 集中式、標準化且一致的部署和設定方法可改善治理做法。 使用雲端式治理工具來執行作業。 |
| 法規合規性 | 了解產業法規需求,以便識別並解決影響雲端資料和作業的不符合規範。 |
| 資源管理 | 雲端作業取決於一致的資源設定。 透過治理工具,您可以一致地設定資源,以管理與上線、漂移、發現性和復原相關的風險。 |
| 安全性 | 安全性是一道複雜的題目,每間公司的情況皆不相同。 建立安全性需求之後,使用雲端治理原則與執行作業就會將這些需求套用到網路、資料以及資產設定。 |
風險是相對的。 在一棟建築物中只有少量離線 IT 資產的小型公司風險很低。 如果公司新增可存取那些資產的使用者和網際網路連線,風險也會隨之上升。 如果小型公司成長為財星 500 大的地位,風險會指數倍增加。 隨著收益、商務流程、員工數量和 IT 資產累積,風險會提升並合併。 IT 資產有助於產生營收。 中斷可能會停止該營收串流。 停機的每個時刻都導致損失。 隨著資料累積,客戶的風險也會增加。
Tailwind Traders 風險
根據 Tailwind Traders 客戶敘述,與 Tailwind CIO 相關的最高風險包括:
在雲端中超支
不符合組織安全性或合規性需求
造成營運管理問題或疏忽的資產設定
危害系統或資料的未經授權存取
不成熟的程式或缺乏小組技能,這會產生不一致的治理
雲端治理小組必須建立雲端治理原則,才能與原則影響的人員共同處理這些風險。