組織導入雲端運算之挑戰與因應之道- 勤業眾信觀點

作者: 企業風險管理部門 /溫紹群協理、黃永婷經理【勤業眾信通訊2011年10月號】

壹、前言

現今的企業比起以往任何時候都更必須確保其競爭優勢，以應付整體的經濟波動、業務發展，以及全球化的市場。在面對這些挑戰時，CXO大量運用資訊科技作為策略執行的推動手段，並尋求有效的解決方案，以提升資訊資源使用效率、可擴充性與延展性、更大的靈活性與彈性，以及管控成本費用，並且在新技術的發展下，造就了雲端運算服務的迅速發展，這代表了新的機會與商機，企業不應忽視其影響。然而雲端運算不是新的概念，事實上，運用Cloud Computing提供服務，用戶不需要關心硬體管理、軟體維護或任何其他相關的服務管理，用戶的結算收費或只支付使用費，就像支付的電費由每千瓦小時使用計費一樣。

而在企業普遍面臨到全球化的運作、集團化管理以及成本削減的壓力，在組織與運作管理上採取共享服務(Shared Services)。運用Cloud Computing正可具體實踐共享服務的概念，主要區分為應用程式面(Software As A Service, SaaS)、平台面(Platform As A Service, PaaS)，或是基礎架構面(Infrastructure As A Service, IaaS)，而其主要優點為：

– 彈性與擴展性：藉由虛擬化與集中運算的優勢，可彈性支援幾千到幾百萬的用戶，而供應商之間亦可依據客戶端使用的多少，來動態分配與分攤資源。

– 減少IT資本支出：企業導入雲端運算，虛擬化技術可讓服務的提供者效率化使用資訊資源，並將服務傳播給他們的客戶群，另外一方面，對於雲端服務使用者(如集團子公司)乃是使用者付費(pay as you go)，可以縮小前期投資成本，減少部署覆蓋的成本與投入。

– 創新性和靈活性：雲端運算提高資訊資源利用效率與產值，促進企業追求服務創新，尋找適合共享與集中化，以提供time-to-market的服務，促進新的商業模式成型。甚至能透過服務生命週期的管理，靈活的進行服務的變更以及雲端服務的持續躍進。

貳、企業導入雲端運算將面臨到的挑戰

因應企業的整合與治理要求，以歸納整理雲端運算將面臨到以下挑戰：

一、 雲端運算的價值傳遞(Delivering Value)

– 雲端運算的導入策略與佈局如何符合企業的業務需求與價值

– 雲端運算的績效評估與服務水準應如何管理

– 雲端運算的服務應如何計價與衡量

二、 雲端運算的作業最佳化 (Operational Excellence)

– 雲端運算維運組織與流程如何最佳化

– 雲端運算的日常作業績效如何可衡量化

– 雲端運算服務團隊所需要的能力如何評估與規劃

三、 雲端服務的委外風險管理(Outsourcing Management)

– 雲端服務委外的規劃須考量到哪些策略面與作業面因素

– 雲端運算導入應考量私有雲與公有雲之搭配風險與成本效益

– 雲端服務委外的稽核與風險控管

– 雲端服務委外的服務水準衡量與監督

– 雲端服務廠商規格鎖定(vendor lock-in)風險

四、 雲端運算的穩定運作 (Resilient Infrastructure)

– 雲端運算的可用性管理

– 雲端運算的業務持續營運的治理該如何規劃

– 災難發生時該如何判定什麼業務該優先復原以及平日該如何備援

– 災難備援的投資如何效益分析

五、 法令遵循 (Regulation Compliance)

– 資訊安全、個人資料與營業祕密的保護

– 如何管理法規趨勢與相關之風險，並調整公司內部之政策、流程與系統架構，以因應法規之要求

參、勤業眾信對於雲端運算的觀點

依據以上所述，企業在導入雲端運算時面臨到如此多面向度的治理挑戰，實在需要一套完整的策略思維來因應，建議在建立雲端運算服務時應從雲端服務的策略、設計、維運到控制面進行規劃。

一、 雲端運算的策略與設計

雲端服務有別於傳統的資源虛擬化思考，其不僅單純的將數個資訊資源進行集中與分享。雲端技術提高架構各個層次的橫向整合性與彈性，進而造成資訊系統架構在結構性的合併與改變，使得應用系統與相關的資訊基礎設備均可各自獨立成為一種資訊服務提供予客戶。IT的整體架構可合併成為數個單純的架構元素，例如：應用系統、基礎設備、伺服器平台、儲存設備與通訊等等。因此，要有效讓IT可順利支援雲端架構，需透過企業架構管理強化各層次水平架構管理能力，掌握架構整體縱向的連結程度，並擬定架構策略與發展藍圖，確保符合組織需求。(見圖1)

依據商業策略、需求與現況，發展各層次架構管理策略，而擬定雲端架構策略可由商業需求導向或IT管理導向出發。

(一)從商業需求導向出發的雲端架構策略

著重於透過雲端架構的彈性與靈活性，提昇資訊科技對於商業的活動的支援，包含：Time to Market、Critical Business Process/Activity Support。

(二)從IT管理導向出發的雲端架構策略

較著重在服務導入(SOA)或虛擬化，除了提高IT資訊利用率，甚至進而減低IT成本。

依據Deloitte Enterprise Architecture Model(圖2)，在有了明確的架構策略後，便可有效掌握雲端技術的導入次序、重點、方法與執行步驟，規範架構轉型 (Transformation) 時的要求或準則，以確保架構轉型過程中仍可同時因應組織的需求。同時，雲端技術改變了IT提供資訊服務的方式，在架構策略發展與移轉規劃時，應將組織人員、流程、管理工具、治理與績效管理考量在內，將IT人員對雲端技術的認知從技術層次，提高到作業與管理層次，訂立可衡量的管理指標以追蹤並衡量雲端技術對於IT，甚至於整個組織的效益。

二、 雲端服務的維運

當擬定雲端服務的策略與計畫，假設方向正確符合企業策略與目標，然而在資訊系統或服務的取得購置與維運上無法滿足業務要求，則無疑是對於投資的一種浪費。因此在這雲端運算技術突飛猛進的時期，運用資訊基礎架構管理庫 (ITIL, IT Infrastructure Library)，來管理日益複雜的資訊環境，強調雲端服務的維運管理，藉由流程的改善與管理工具的搭配，以達成雲端服務的效率和績效提升。ITIL資訊服務管理架構之特色包含：

(一) 結合雲端架構特性，標準化雲端服務流程

在雲端跨越各類資訊資源的彈性架構下，各類資訊服務與資訊資源互相影響的程度亦會加劇。為維持資訊服務水準，企業更需注意流程間的整合互動性和控管一致性，避免影響服務。依據流程特性強調每個流程與流程之整合性，例如ITIL中所建議之流程模組包含服務台管理、事件/問題之管理、資訊資產管理、變更之控制、上線作業、服務之可用性、服務不中斷、容量資源規劃與財務管理等標準作業流程等。

(二) 從服務導向精神出發，服務水準為管理核心

雲端運算最高的指導原則乃是要滿足使用者的需求，並提高其價值，然而，「滿足需求」與「提高價值」該如何去量化並實行?這就必須要藉由服務水準協定(SLA: Service Level Agreement)來作為雲端服務提供方與使用方雙方價值溝通的基礎。服務水準管理是面對客戶(即使用者)時的核心觀念，透過這個管理機制，可以追蹤雲端服務等級是否有達到原先與客戶擬定之服務水準，如果沒有達到，再找出原因，確保達到與客戶協定之目標，進而提升資訊服務水準。

三、 雲端服務的控制

雲端運算在策略、設計與維運的過程中，往往牽涉到委外的風險、資料的保護以及法令法規遵循的議題，針對這些風險應進行控管。

(一)資料治理(Data governance)

雲端服務因其虛擬與集中化，因為對於某些關鍵或機密資料必須與以保護，以防被盜，丟失和濫用，在產業中此類資訊可能包含個人資料、客戶資料、專利資料、商業機密、財務資訊與其他機敏性資料。因此，在雲端運算的資料治理中，應採取以下方法：

– 設置資料治理之組織，以建立明確之角色與職責進行雲端運算資料之管理

– 了解雲端服務所承載的資料與其流向

– 進行資料的分類並了解其重要性與敏感性

– 透過分析資料的生命週期流程與使用者的職責區分，來進行資料存取權限設計與安全控制設計

– 透過稽核的手段以確保資料的保護與安全性

(二)資訊安全與法規遵循(Security and Compliance)

透過風險評鑑考量需要被保護的敏感資訊和洩漏的威脅，以及其相關風險改善機會

– 強化針對雲端服務中之應用系統、資料存取之身分認證、授權與信任機制

– 強化敏感資料之安全控管措施

– 設置緊急應變與事件處理措施，以降低因為資料外洩所造成的企業商譽損失

– 設置記錄控管與偵防機制

– 針對企業所處環境進行相關法規與標準之遵行，如SAS70、ISO27001、ISO20000、PCI DSS…等
勤業眾信依據全球顧問導入雲端服務之經驗，將雲端運算風險歸納成為雲端風險智能圖(Deloitte Cloud Risk intelligenceMap)，如圖3以全面性的評估導入雲端服務時的風險，以降低相關治理面、架構面、安全面、資料管理面、系統穩定面、作業面與供應商管理的風險，以進行最適化的雲端運算治理設計。

肆、結論

雲端運算不只是一個技術演進，而是一個商業模型的變革，因此對於資訊架構的策略、委外與服務的交付會產生重大的影響，並且亦有機會促使IT與企業能從傳統的服務運作轉為更具彈性、更為敏捷、更具成本效益的架構。企業應對於這樣的雲端運算能力進行評估，並透過服務策略、設計、維運與服務控制的生命週期管理，持續創新與改善整體服務品質。

(本文已刊登在2011/07電腦稽核協會24期期刊)