目前還沒有專門針對(duì)數(shù)據(jù)中心的合規(guī)標(biāo)準(zhǔn)。但這并不意味著數(shù)據(jù)中心在合規(guī)方面沒有任何作用。相反,企業(yè)設(shè)計(jì)、運(yùn)營和審計(jì)其數(shù)據(jù)中心的方式對(duì)于滿足其面臨的各種合規(guī)性要求(例如HIPAA、PCIDSS和GDPR)的能力至關(guān)重要。
請(qǐng)繼續(xù)閱讀數(shù)據(jù)中心合規(guī)指南,包括數(shù)據(jù)中心在合規(guī)策略中的位置,以及數(shù)據(jù)中心運(yùn)營商和客戶需要做什么來確保數(shù)據(jù)中心合規(guī)。
數(shù)據(jù)中心和合規(guī)性:概述
數(shù)據(jù)中心并不總是合規(guī)性討論的焦點(diǎn),因?yàn)橹饕暮弦?guī)性框架都沒有包含針對(duì)數(shù)據(jù)中心的具體規(guī)則,這并不奇怪,因?yàn)楹弦?guī)性標(biāo)準(zhǔn)通常不關(guān)注特定技術(shù)或技術(shù)領(lǐng)域。相反,它們旨在建立組織必須遵循的指導(dǎo)方針和最佳實(shí)踐,無論他們使用哪種技術(shù)。
也就是說,任何使用數(shù)據(jù)中心并遵守合規(guī)標(biāo)準(zhǔn)的組織,都必須確保其數(shù)據(jù)中心的運(yùn)營符合合規(guī)要求。如果數(shù)據(jù)中心不合規(guī),那么通常就無法合規(guī)。
例如,歐盟旨在保護(hù)個(gè)人數(shù)據(jù)的《GDPR》包含規(guī)定企業(yè)何時(shí)以及如何將數(shù)據(jù)傳輸?shù)綒W盟以外的規(guī)則。這意味著,運(yùn)營多個(gè)數(shù)據(jù)中心(一些在歐盟境內(nèi),另一些在歐盟境外)的企業(yè)必須管理個(gè)人數(shù)據(jù)在其各個(gè)數(shù)據(jù)中心之間流動(dòng)的方式。
確保數(shù)據(jù)中心合規(guī)性的策略
確保數(shù)據(jù)中心支持而不是阻礙合規(guī)策略可能具有挑戰(zhàn)性,因?yàn)楹弦?guī)規(guī)則通常不包含與數(shù)據(jù)中心相關(guān)的特定要求。
因此,確定如何將合規(guī)標(biāo)準(zhǔn)應(yīng)用于數(shù)據(jù)中心可能很困難。沒有簡單的清單可以讓企業(yè)遵循以確保其數(shù)據(jù)中心符合其需要滿足的任何合規(guī)規(guī)則。
然而,企業(yè)和數(shù)據(jù)中心運(yùn)營商可以采取一些措施來支持?jǐn)?shù)據(jù)中心合規(guī)性。以下是主要措施。
1.遵守自愿合規(guī)框架
存在多個(gè)合規(guī)框架,這些框架的規(guī)則不需要任何組織遵守,但可以幫助為網(wǎng)絡(luò)安全和數(shù)據(jù)隱私建立健康的基礎(chǔ)。此類自愿合規(guī)框架的主要示例包括SOC2和ISO27001。
選擇遵守這些或類似的自愿框架并不能保證數(shù)據(jù)中心也符合HIPAA或GDPR等監(jiān)管框架。但自愿合規(guī)提供了一個(gè)機(jī)會(huì)來建立最佳實(shí)踐并識(shí)別可能引發(fā)違反非自愿合規(guī)要求的安全漏洞。
2.進(jìn)行自愿審計(jì)
同樣,進(jìn)行自愿審計(jì)是識(shí)別數(shù)據(jù)中心運(yùn)營中可能導(dǎo)致合規(guī)性問題的漏洞的好方法。
數(shù)據(jù)中心運(yùn)營商可以使用自己的內(nèi)部審計(jì)團(tuán)隊(duì)進(jìn)行審計(jì),也可以將審計(jì)外包給外部審計(jì)提供商。(在某些情況下,需要進(jìn)行外部審計(jì)來證明您符合合規(guī)性標(biāo)準(zhǔn),但也可能允許進(jìn)行內(nèi)部審計(jì),具體取決于尋求的合規(guī)性認(rèn)證。)
3.記錄資產(chǎn)和流程
您與審計(jì)人員和監(jiān)管機(jī)構(gòu)分享的信息越多,就越容易證明您的數(shù)據(jù)中心符合相關(guān)標(biāo)準(zhǔn)。從看似平凡的信息(如數(shù)據(jù)中心電纜標(biāo)簽)到更高風(fēng)險(xiǎn)的數(shù)據(jù)(如網(wǎng)絡(luò)安全事件響應(yīng)操作),跟蹤您在數(shù)據(jù)中心內(nèi)擁有的一切和所做的一切。
4.考慮外包數(shù)據(jù)中心運(yùn)營
如果企業(yè)難以確保其數(shù)據(jù)中心合規(guī),外包數(shù)據(jù)中心運(yùn)營可能是明智的選擇。外包允許將合規(guī)責(zé)任交給第三方。當(dāng)然,請(qǐng)確保需要滿足的任何合規(guī)標(biāo)準(zhǔn)都考慮到與所雇用的數(shù)據(jù)中心外包企業(yè)達(dá)成的協(xié)議中。
5.考慮云
當(dāng)所有其他方法都失敗時(shí),將工作負(fù)載遷移到公共云可以簡化合規(guī)性。雖然公共云提供商無法保證您的工作負(fù)載的所有方面都符合要求,但他們確實(shí)承擔(dān)了與保護(hù)物理基礎(chǔ)設(shè)施相關(guān)的合規(guī)性責(zé)任。
當(dāng)然,遷移到云會(huì)帶來一系列權(quán)衡,其中包括減少對(duì)基礎(chǔ)設(shè)施的控制等挑戰(zhàn)。但對(duì)于在私有數(shù)據(jù)中心難以遵守法規(guī)的企業(yè)來說,云可能是明智的選擇。
結(jié)論:使數(shù)據(jù)中心成為合規(guī)的基石
對(duì)于大多數(shù)企業(yè)來說,數(shù)據(jù)中心只是合規(guī)運(yùn)營的一個(gè)組成部分。但鑒于數(shù)據(jù)中心在托管工作負(fù)載方面發(fā)揮的基礎(chǔ)作用,它們往往是至關(guān)重要的組成部分。因此,依賴數(shù)據(jù)中心的企業(yè)采取主動(dòng)措施來滿足合規(guī)要求是明智之舉,例如自愿接受審計(jì),或者在某些情況下將數(shù)據(jù)中心運(yùn)營外包給更熟悉數(shù)據(jù)中心合規(guī)要求的企業(yè)。
