Jakość usług cloud computing
- 02.01.2013, godz. 09:30
5. Mechanizmy kontroli dostępu do systemu i danych
Mechanizmy kontroli dostępu do systemu i danych powinny być oparte na dobrze zdefiniowanych procedurach i zasadach polityki, które umożliwiają łatwe zablokowanie dostępu dla osób nieuprawnionych, np. zwolnionych pracowników. Dostawca musi zaprezentować dokumentację opisującą mechanizmy autoryzacji, dotyczące zarówno użytkowników pracujących w firmie, jak i uzyskujących zdalny dostęp. Polityka bezpieczeństwa obejmuje również zarządzanie hasłami administratorów systemu, a kierownictwo firmy korzystającej z usług powinno mieć dostęp i możliwość przeglądu dokumentów opisujących zasady zabezpieczeń. Dodatkowo, system bezpieczeństwa musi zostać zweryfikowany i oceniony przez niezależną firmę.
6. Zarządzanie zmianami
Modyfikacje i zmiany wprowadzane w systemie muszą być udokumentowane. Procedury wprowadzania zmian powinny zawierać takie formalne elementy, jak: zgłoszenie potrzeby modyfikacji, rejestracja zgłoszenia, jego zatwierdzenie, wyniki testów oraz akceptacja wdrożenia modyfikacji w systemie produkcyjnym. Ponadto, dostawca musi zaprezentować, że modyfikacje wprowadzane w nagłych sytuacjach, np. pojawienia się zagrożeń dla prawidłowego funkcjonowania systemu, również podlegają formalnemu procesowi przeglądu i weryfikacji.
Zobacz również:
- Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
- Cisco i Microsoft transmitują dane z prędkością 800 Gb/s
- Cyberobrona? Mamy w planach
7. Integralność danych
Polityka i procedury zapewniające integralność i bezpieczeństwo przechowywanych informacji powinny działać efektywnie i przynajmniej raz do roku podlegać przeglądowi i aktualizacji, a odpowiednie informacje na ten temat muszą być przekazywane pracownikom dostawcy usług. Dotyczy to m.in. polityki tworzenia kopii bezpieczeństwa oraz czasu przechowywania archiwalnych informacji.
8. Bezpieczeństwo fizyczne i zagrożenia środowiskowe
Fizyczny dostęp do systemu IT i zasobów wykorzystywanych przez dostawcę powinien być odpowiednio zabezpieczony poprzez stosowanie kart identyfikacyjnych, monitoringu wideo i innych działających efektywnie rozwiązań. Używane mechanizmy kontroli muszą być udokumentowane i przynajmniej raz w roku podlegać przeglądowi, a wszystkie incydenty analizowane. Dodatkowo usługodawca powinien mieć opracowany plan przeciwdziałania skutkom poważnych awarii i klęsk żywiołowych. W szczególności dotyczy to wymagania na redundatne połączenia sieciowe i energetyczne.
9. Umowy SLA
Dostawca musi wykazać, że podpisuje z użytkownikami umowy precyzujące wymagania na jakość świadczonych usług, a jednocześnie udostępnia im narzędzia pozwalające na ich monitorowanie.
10. Raporty, rachunki i satysfakcja klientów
Użytkownicy muszą mieć dostęp do raportów dotyczących wydajności systemu i jej zgodności z warunkami SLA. Dodatkowo, by uzyskać certyfikat MSPAlliance, dostawca powinien przedstawić referencje, które można zweryfikować.
11. Finansowa stabilność
Usługodawca jest też zobowiązany do przedstawienia wielkości zysków przynajmniej z 6 ostatnich miesięcy, które świadczą o jego pozycji finansowej, a jeśli firma nie przynosiła zysków, to udokumentować wartość posiadanego kapitału na poziomie zapewniającym stabilne funkcjonowanie. Dodatkowo, dostawca powinien udowodnić, że jego dochody są odpowiednio rozproszone i nie zależą tylko od jednego lub kilku klientów.