合规性

OpenStack 部署可能需要进行合规性活动，以满足多种目的，例如法规和法律要求、客户需求、隐私考虑以及安全最佳实践。合规性功能对于企业及其客户至关重要。合规性意味着遵守法规、规范、标准和法律。它也用于描述组织在评估、审计和认证方面的状态。合规性，如果执行得当，可以统一并加强本指南中讨论的其他安全主题。

本章有几个目标

• 回顾常见的安全原则。

• 讨论常见的控制框架和认证资源，以获得行业认证或监管机构的证明。

• 作为审计员评估 OpenStack 部署时的参考。

• 介绍 OpenStack 和云环境特定的隐私考虑因素。

• 合规性概述
  • 安全原则
  • 常见的控制框架
  • 审计参考
• 了解审计过程
  • 确定审计范围
  • 审计阶段
  • 内部审计
  • 准备外部审计
  • 外部审计
  • 合规性维护
• 合规性活动
  • 信息安全管理体系 (ISMS)
  • 风险评估
  • 访问和日志审查
  • 备份和灾难恢复
  • 安全培训
  • 安全审查
  • 漏洞管理
  • 数据分类
  • 例外处理流程
• 认证和合规性声明
  • 商业标准
  • 政府标准
• 隐私