Cloud Computing Audit for Small and Medium Enterprises

Cloud computing přináší do světa informačních systémů řadu příležitostí, ale i nových rizik. Hlavním z nich je snížená schopnost zákazníků přímo kontrolovat bezpečnost systémů a informací, jejichž správa použitím cloudové služby přechází na poskytovatele. Tato práce se zabývá možnostmi provádění auditu cloudových služeb zejména z pohledu malých a středních podniků. Úvod práce terminologicky definuje audit informačního systému, charakterizuje cloudové služby a analyzuje mezinárodní legislativu. Představeny jsou standardizační organizace, vydávané standardy a metodiky, které jsou v IT oblasti obecně respektované. Pro zprostředkování důvěry v cloudu jsou důležité nezávislé audity třetích stran, a to zejména organizací specializujících se na přezkoumání a kontrolu poskytovatelů cloudových služeb. Na základě těchto východisek je sestaven rámcový postup prověření základních předpokladů podniku, poskytovatele a služeb, jejichž naplnění povede k efektivnímu a bezpečnému cloudovému IS. Navržené předpoklady poskytovatele jsou v závěru práce aplikovány na vybrané poskytovatele služeb.Cloud computing brings to the world of information systems many opportunities but also new risks. The main one is decreased customer ability to directly control the security of information and systems, because administration responsibility passes to providers. This thesis focuses on cloud services auditing from the small and medium enterprises perspective. In introduction, this work defines information system audit terminology, characterizes cloud services and analyzes international legislation. Standardization organizations, published standards and methodologies that are widely respected in IT field are introduced. For the trust mediation in the cloud are important independent third-party audits and organizations specializing in the examination and control of cloud providers. The assumptions list is assembled on this basis to support screening process and to check, whether enterprise, service providers and services are ready for creating efficient and safe cloud system. The assumptions are applied to selected cloud service providers