在云計算中，有效地安全管理和企業風險控制是從良好開發的信息安全安全管理過程得到的，是組織的全面企業安全管理要注意的。本文給出了在云計算中有關安全管理、企業風險控制和信息風險管理的意見和建議。 在云計算中，有效地安全管理和企業風險控制是從良好開發的信息安全安全管理過程得到的，是組織的全面企業安全管理要注意的。本文給出了在云計算中有關安全管理、企業風險控制和信息風險管理的意見和建議。

在云計算中，有效地安全管理和企業風險控制是從良好開發的信息安全安全管理過程得到的，是組織的全面企業安全管理要注意的。良好開發的信息安全安全管理過程會使信息安全管理程序一直可依據業務伸縮、可在組織內重復、可測量、可持續、可防御、可持續改進且具有成本效益。

云計算中的安全管理和企業風險控制的基本問題關系到識別和實施適當的組織架構、流程及控制來維持有效的信息安全安全管理、風險管理及合規性。組織還應確保在任何云部署模型中，都有適當的信息安全貫穿于信息供應鏈，包括云計算服務的供應商和用戶，及其支持的第三方供應商。

安全管理建議

一部分從云計算服務節省的費用必須投資到提升提供商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

不管是什么服務或部署模型，云計算服務的用戶和提供商都應開發健壯的信息安全安全管理。信息安全安全管理應由用戶和提供商協作來達到支持業務使命和信息安全程序的一致目標。服務模型可以調整協同信息安全安全管理和風險管理中定義的角色和職責（基于各自對用戶和提供商的控制范圍），部署模型可能定義責任和預期（基于風險評估）。

用戶組織應包括審查具體的信息安全安全管理架構和流程，及具體的信息安全控制，作為未來提供商組織的部分應有的責任（due diligence）。應該評估提供商的安全安全管理流程和能力的充足性、成熟度及與用戶信息安全管理流程的連續性。提供商的信息安全控制應基于風險確定并清晰地支持這些管理流程。

用戶和提供商間的協同安全管理架構和流程是很必要的，既是部分服務交付（services delivery）的設計和開發，也是風險評估和風險管理協議，然后作為服務協議的一部分。

在建立服務水平協議（SLA）及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

在遷移進云端前，測量績效和信息安全管理有效性的指標體系和標準都應建立起來。至少，組織應理解并文檔化他們當前的指標，及運營遷移進云時，這些指標會如何變動，因為云提供商可能使用不同的（有可能不兼容）指標。

只要有可能，所有服務水平協議（SLA）和合同中都應該包含安全指標和標準（尤其是那些法律和合規性需求相關的）。這些標準和指標應是文檔記錄的并是可證明的（可審計）。

企業風險控制建議

和任何新業務流程一樣，遵循風險管理的***實踐很重要。實踐應該與云服務的具體用途相匹配，這些用途可能從無意的和臨時的數據處理到處理高敏感性數據的關鍵業務流程。對企業風險控制和信息風險管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進已有的風險管理和流程。

由于許多云計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水平協議、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。

由于云計算中的按需提供和多租戶特點，傳統形式的審計和評估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評估和滲透測試，而其他的則限制提供審計日志和實時監控數據。如果這些在內部策略中都是要求的，那么就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代提供商。

至于對組織的關鍵功能使用云服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產（風險和事件場景）的潛在影響、分析事件/場景的可能性、管理層批準的風險接受水平和標準、多種風險處置（控制、避免、轉嫁、接受）計劃的開發。風險處置計劃的結果應作為服務合約的一部分。

提供商和用戶的風險評估方法應一致，影響分析標準和可能性定義也一致。用戶和提供商應共同開發云服務的風險場景，這應該固化在提供商為用戶服務的設計中和用戶的云服務風險評估中。

資產清單應盤點支持云服務且在提供商控制下的資產。用戶和提供商的資產分類和評估方案（evaluation scheme）應一致。

提供商及其服務都應該是風險評估的主題。云服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

如果提供商不能演示證明其服務的全面有效的風險管理流程，用戶應詳細評估該供應商，以及是否可以使用用戶自身的能力來補償潛在的風險管理差距。

云服務的用戶應詢問管理層對云服務的風險容忍和可接受的殘余風險是否已經有所定義。