共用方式為

建置雲端治理小組

雲端治理是組織透過建立護欄來控制其雲端服務的使用方式。 這些護欄是一組原則、程序和工具,可定義可接受和不可接受的雲端活動。 有效的雲端治理可使雲端使用與業務目標保持一致、降低風險、確保法規合規性,並防止未受管理或未經授權的雲端動作。 在實踐中,雲端治理涵蓋了安全性、法規遵循、營運、成本管理、資料管理、資源配置等關鍵領域,甚至是人工智慧等新興領域。

快速連結:Azure 治理工具和範例治理 RACI 矩陣

治理流程: 雲端治理不是一次性的專案,而是一個持續的過程。 初始設定後,需要持續監控、評估和更新,以適應新技術、不斷變化的風險和不斷變化的需求。 在步驟 1 中建立治理基礎之後,步驟 2-5 會在一個週期中重複,以隨著時間的推移維持和改善治理。

顯示設定和維護雲端治理程式的圖表。此圖表顯示五個循序步驟:建置雲端治理小組、記錄雲端治理原則、強制執行雲端治理原則,以及監視雲端治理。您執行一次的第一步。您執行一次的最後四個步驟,以設定雲端治理,並持續維護雲端治理。

第一步是建立專門的雲端治理團隊來監督整個組織的雲端治理。 此小組負責管理雲端相關風險、開發和更新治理原則,以及報告治理進度。 團隊成員必須了解各個業務單位的需求,並確保治理策略在不阻礙業務目標的情況下有效地將風險降至最低。 此步驟的結果是對雲端治理成功擁有明確的擁有權和責任。

1. 定義團隊的職能

清楚概述雲端治理小組的職責,以及它將執行哪些活動來實作治理。 至少,團隊應該能夠:

  1. 讓利害關係人參與進來。 雲端治理小組必須積極讓整個組織的專案關係人參與 (IT、財務、營運、安全性和合規性) ,以收集定義雲端治理原則的輸入。 目標是確保雲端控管原則將風險降到最低,而不會阻止團隊實現業務目標。

  2. 評估雲端風險。 雲端治理小組必須監督雲端相關風險的識別和評估。 該團隊推動風險評估流程並傳達風險發現。 他們可能會為其他人提供工具或框架來評估雲端中的安全性、合規性和營運風險。

  3. 制定和更新治理政策。 雲端治理小組應該記錄解決已識別風險的雲端治理原則。 該團隊解決了這些政策給各個團體帶來的任何挑戰,並定期審查政策,以使其與技術變革和新要求保持同步。 這些政策必須全面、可執行,並符合當前的業務需求。

  4. 監控和審查合規性。 雲端治理小組必須建立計量和報告方法,以測量治理原則的有效性。 追蹤合規性等級、政策違規情況、事件回應時間,甚至使用者滿意度。 定期檢閱這些計量,以識別需要改善的領域,並報告組織的雲端治理狀態。

2. 選擇團隊成員

為雲端治理小組選擇具有適當技能和經驗的人員,以強制執行原則、管理風險,並確保合規性。 團隊組成的一些建議:

  1. 保持一個小團隊。 選擇一個小團隊來鼓勵敏捷性和更快的決策。

  2. 確保多元化的代表性。 包括來自不同部門或領域的團隊成員。 例如,IT 營運、雲端架構、安全性、合規性、財務,也許還有應用程式開發。 跨職能代表性確保治理政策考慮多個觀點。

  3. 定義團隊成員的職責。 定義雲端治理小組內的角色和責任。 根據您組織的規模、複雜性和雲端成熟度進行客製化。 主要責任領域通常包括整體雲端治理計劃成功、雲端架構監督、雲端安全性、法規合規性和雲端財務管理 (成本優化) 。

3. 定義團隊的權限

為雲端治理小組提供在整個組織中實作治理所需的授權和支援。 執行此操作的步驟包括:

  1. 確保高階主管贊助。 取得具名高階主管 (例如 CIO 或 CTO) 的支援,並向其報告,以支援雲端治理計劃。 執行贊助者可作為挑戰的升級點,並協助將雲端控管與商務目標保持一致。

  2. 建立權限等級。 執行贊助者應該授與小組定義雲端治理原則的權限,並針對不合規採取更正措施。

  3. 展現權威。 執行贊助者應該將雲端治理小組的權限傳達給整個組織。 包括遵守他們建立的雲端治理原則的重要性。

4. 定義團隊的範圍

建立雲端治理小組職責的界限。 目標是澄清責任區域,讓雲端治理小組可以專注於其定義的功能。 若要定義範圍,請遵循下列建議:

  1. 定義與其他團隊的關係。 判斷雲端治理小組將如何與現有的 IT 治理、內部部署基礎結構小組或應用程式小組互動。 例如,在混合式環境中,說明雲端治理小組與傳統 IT 治理各自處理的層面。 明確劃定範圍可以防止混淆誰管理什麼。

  2. 使用 RACI 矩陣。 建立 RACI(負責、問責、諮詢、知情)圖表會很有幫助,該圖表繪製出與治理相關的任務以及參與人員。 例如,雲端治理小組可能負責制定原則,而雲端平台工程師則負責實作特定控制項,依此類推。 RACI 矩陣可確保每個人都知道自己在雲端治理中的角色,以及治理小組如何與其他群組共同作業。

雲端控管 RACI 矩陣範例

下表是雲端控管的 RACI 矩陣範例。 矩陣顯示誰負責(R)、應負責(A)、被諮詢(C)和被告知(I)在各種雲端治理工作中的角色。 建立符合您組織並符合您特定需求的 RACI 矩陣。

任務 雲端治理小組 執行贊助商 雲端平台團隊 任務團隊
Engage 利害關係人 R、A I C C
評估雲端風險 A I R R
制定和更新治理政策 R、A I C C
報告雲端控管進度 R、A I C C
規劃雲端架構 A I R R
強制執行治理政策 甲、丙 I R R
監視合規性 甲、丙 I R R

擁有這樣的矩陣有助於澄清誰做什麼。 例如,雲端治理小組負責 (A) 評估雲端風險,但雲端平台和工作負載小組負責 (R) 在其區域中執行風險評估。 雲端治理小組被諮詢 (C)或對執行負責,但平台和工作負載小組將之付諸實行。

建立小組的功能、成員資格、權限和範圍後,您已建立雲端治理的基礎。 該團隊現在將推動後續步驟:定義政策、執行政策並監控合規性。

後續步驟

評估雲端風險

  • Last updated on