本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 评测组织就绪性以采用零信任
<a name="organizational-readiness"></a>

采用新的架构策略是一项庞大的任务，需要仔细规划并审慎考虑各种组织因素。本节重点介绍在整个企业中采用零信任的关键组织就绪性注意事项。通过解决这些注意事项，贵组织便可为建立更稳固、更有效的安全状况奠定坚实的基础。

## 领导层的协调和沟通
<a name="leadership"></a>

领导层的协调和沟通对于成功实施零信任具有至关重要的意义。领导层必须了解零信任的优势和所需的资源。领导者还必须愿意对组织文化和流程做出变更。要与员工建立信任、获得员工的认同，必须与员工开展交流沟通。员工需要了解组织为何要实施零信任、实施零信任会给他们带来何种影响以及他们如何为此项举措提供支持。沟通应公开、透明、持续。

**领导层的支持和认同**

要成功实施零信任架构（ZTA），您必须在架构的目标、优势和成功衡量标准方面让关键利益相关者和高管一致认同，这一点十分重要。分享零信任原则在增强安全性和实现业务敏捷性方面的重要性，方法为：从传统的基于边界的安全性转向更精细的、以用户为中心的方法。贵组织通过切换到这种方法，可以更快地适应变革和威胁。高管协调为组织定下了基调，并有助于克服潜在的变革阻力。

**透明的沟通**

在实施零信任的整个过程中，与员工保持开放、透明的沟通。解释采用零信任的理由、优势和预期结果，并及时解决顾虑问题。定期提供有关实施进展的更新信息。这样将会增加认同、减少阻力并建立信任。

## 技能开发和培训
<a name="skills-training"></a>

在领导层协调一致、开放沟通之后，重要的是培养要实施零信任的员工掌握相关技能和知识。这些技能和知识包括了解零信任原则、如何在工作中实施这些原则，以及如何应对安全事件。提供培训和发展机会，帮助员工掌握这些技能。

**云知识和技能**

评测组织在云技术和零信任原则方面的技能和知识差距。提供培训和发展计划，以提高员工的技能，让他们具备必要的专业知识，以便在以云为中心的零信任环境中高效地工作。为了跟上不断发展的技术和安全实践的步伐，要培养持续学习的文化。

**安全文化和意识**

评测组织的安全文化。评估员工的安全意识水平、他们对安全最佳实践的理解以及他们对政策和程序的遵守情况。确定在安全知识方面的任何差距。考虑开展安全意识培训计划，教导员工了解零信任的重要性及其在维护安全环境方面的作用。

## 组织结构和角色
<a name="organizational-structure"></a>

要成功实施零信任，请建立有效的组织结构和角色。这包括创建[卓越云中心 (CCoE)](https://docs.aws.amazon.com/prescriptive-guidance/latest/cloud-center-of-excellence/introduction.html)、审查和修改安全操作，以及分配漏洞管理、事件响应和安全监控的角色和职责。

**云卓越中心**

设立 CCo E，为云运营提供指导、最佳实践和监督。 CCoE 是负责创建和实施与云相关的最佳实践、指导方针和治理政策的团队或群体。 CCoE 应包括来自不同业务部门和 IT 团队的代表，以帮助确保协作和协调一致。 CCoE 在推动云托管工作负载中采用 Zero Trust 原则方面发挥着至关重要的作用。 CCoE 还促进了整个组织的知识共享。

**安全运营**

要满足零信任环境的需求，请查看和修改当前的安全运营组织。要提高监控、事件响应和威胁情报能力，可以考虑实施安全运营中心 (SOCs) 或托管安全服务提供商 (MSSPs)。确定脆弱性管理、事件响应和安全监控的角色和职责。运转良好的事件响应流程对于确保能够快速检测和修复微小的安全事件以中断事件序列具有至关重要的意义。这有助于防止微小的事件演变为更具影响力的事件。

## IT 基础设施和架构
<a name="infrastructure-architecture"></a>

检查贵公司的 IT 架构和基础设施，找出可能影响采用零信任方法的任何限制或依赖项。确定当前的应用程序和系统是否与必要的零信任架构组件兼容。分析是否需要对基础设施进行任何改进或调整，以支持零信任原则的成功部署。对于每个应用程序或系统，请考虑零信任在原地实施效果最好，还是通过更大的现代化工作来实施效果最好。

## 风险管理、治理和变更控制
<a name="risk-management-framework"></a>

要成功实施零信任，请建立有效的风险管理、治理和变更控制流程。这一点包括使风险管理与零信任原则保持一致，制定事件响应计划，与法律和合规性部门合作，以及建立变更控制流程。

**风险管理**

检查贵公司实施的风险管理策略，并确定其对零信任原则的遵循程度。分析当前事件响应系统、安全措施和风险评测程序的效率。确定需要改进哪些领域以符合零信任策略。开始开发自动化事件响应系统或持续监控和分析框架，以加快解决问题的速度。

**变更控制流程**

为了帮助确保所有与云相关的修改均符合安全性和合规性要求，请建立有效的变更控制方法。建立系统性变更管理程序，包括安全配置分析、风险评估、审批和文档。经常审查和审计更新，以保持零信任架构的完整性。

## 监控和评估
<a name="monitoring-evaluation"></a>

要成功实施零信任，贵组织必须持续监控和评估其安全状况。这包括制定关键绩效指标 (KPIs)，监测和评估 KPIs，以及培养持续改进的文化。通过遵循这些步骤，组织可以确保成功实施零信任并始终努力提高其安全性。

**关键绩效指标**

建立相关的关键绩效指标 (KPIs)，以衡量 Zero Trust 部署的成功和有效性。它们 KPIs 可以衡量用户满意度、设备和部署进度、成本降低、合规遵守情况以及安全事件的数量。要跟踪整体发展情况并寻找改进机会，请定期对其进行监控和评估 KPIs。

**持续改进**

建立系统以征求利益相关者的意见和洞察将有助于培养持续改进的文化。鼓励员工为改善云环境的安全性、有效性和用户体验而提供想法和提议。使用此输入来简化程序、改进安全措施并刺激创新。

## 章节摘要
<a name="org-readiness-summary"></a>

通过应对这些组织和文化方面的注意事项，贵组织可以为零信任安全模型的云采用营造一个支持性环境。下一节将探讨分阶段采用方法，并就如何以实用且可管理的方式逐步实施零信任原则提供指导。