在云計算中，有效地安全管理和企業風險控制是從良好開發的信息安全安全管理過程得到的，是組織的全面企業安全管理責任應有的注意。良好開發的信息安全安全管理過程會使信息安全管理程序一直可依據業務伸縮、可在組織內重復、可測量、可持續、可防御、可持續改進且具有成本效益。

　　云計算中的安全管理和企業風險控制的基本問題關系到識別和實施適當的組織架構、流程及控制來維持有效的信息安全安全管理、風險管理及合規性。組織還應確保在任何云部署模型中，都有適當的信息安全貫穿于信息供應鏈，包括云計算服務的供應商和用戶，及其支持的第三方供應商。

 　　安全管理建議

 　　一部分從云計算服務節省的費用必須投資到提升提供商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

 　　不管是什么服務或部署模型，云計算服務的用戶和提供商都應開發健壯的信息安全安全管理。信息安全安全管理應由用戶和提供商協作來達到支持業務使命和信息安全程序的一致目標。服務模型可以調整協同信息安全安全管理和風險管理中定義的角色和職責(基于各自對用戶和提供商的控制范圍)，部署模型可能定義責任和預期(基于風險評估)。

 　　用戶組織應包括審查具體的信息安全安全管理架構和流程，及具體的信息安全控制，作為未來提供商組織的部分應有的責任(due diligence)。應該評估提供商的安全安全管理流程和能力的充足性、成熟度及與用戶信息安全管理流程的連續性。提供商的信息安全控制應基于風險確定并清晰地支持這些管理流程。

 　 用戶和提供商間的協同安全管理架構和流程是很必要的，既是部分服務交付(services delivery)的設計和開發，也是風險評估和風險管理協議，然后作為服務協議的一部分。

 　在建立服務水平協議(SLA)及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

 　 在遷移進云端前，測量績效和信息安全管理有效性的指標體系和標準都應建立起來。至少，組織應理解并文檔化他們當前的指標，及運營遷移進云時，這些指標會如何變動，因為云提供商可能使用不同的(有可能不兼容)指標。

 　　只要有可能，所有服務水平協議(SLA)和合同中都應該包含安全指標和標準(尤其是那些法律和合規性需求相關的)。這些標準和指標應是文檔記錄的并是可證明的(可審計)。

 　　企業風險控制建議

     和任何新業務流程一樣，遵循風險管理的***實踐很重要。實踐應該與云服務的具體用途相匹配，這些用途可能從無意的和臨時的數據處理到處理高敏感性數據的關鍵業務流程。對企業風險控制和信息風險管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進已有的風險管理和流程。

     現在是個企業都在講云計算、大數據，似乎不這么說就證明企業已經跟不上科技的腳步了。那么在實踐中如何更好地利用云計算平臺，并能***的達到企業對云計算的投資呢？在企業風險控制中，安全是核心。但是企業都講求投資回報率，及企業在風險管理上的投入能夠為企業帶來多大的收益。畢竟，商業就是商業。

     企業會在具有潛在安全風險的領域投入，而打印機有可能成為企業不太重視的安全管理死角。其實，這恰恰是錯誤的。現在，大量基于打印機的安全漏洞是企業及員工、客戶等遭遇了大量風險和意外地成本損失。很多涉及到商業核心機密的信息在打印過程中遭到截取或篡改。這是互聯網時代的特征，不可避免，但可防范。

     很多具有前瞻性的企業已經看到了其中的利害關系，所以在采購打印設備時都會選擇與企業業務需求相匹配的產品。而作為打印及成像領域的***，惠普公司致力于為不同類型的企業提供安全打印解決方案。而惠普借助云計算研發的安全打印技術惠普云打印成為近兩年來打印機市場的寵兒，搭載惠普云打印技術的打印機在可管理性和打印安全性都有很強的標準，成為移動辦公的好幫手。用戶可以隨時隨地給搭載惠普云打印技術的惠普打印機的指定郵箱發送需要打印的內容，借助惠普提供的云服務，它就可以安全高效的進行打印，而無需擔心有商業泄密的風險。比如惠普Flow MFP系列企業級多功能一體機。

惠普FLow MFP是企業文印安全的保障

 　　由于許多云計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。 　　由于云計算中的按需提供和多租戶特點，傳統形式的審計和評估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評估和滲透測試，而其他的則限制提供審計日志和實時監控數據。如果這些在內部策略中都是要求的，那么就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代提供商。 

　　至于對組織的關鍵功能使用云服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產(風險和事件場景)的潛在影響、分析事件/場景的可能性、管理層批準的風險接受水平和標準、多種風險處置(控制、避免、轉嫁、接受)計劃的開發。風險處置計劃的結果應作為服務合約的一部分。

 　　提供商和用戶的風險評估方法應一致，影響分析標準和可能性定義也一致。用戶和提供商應共同開發云服務的風險場景，這應該固化在提供商為用戶服務的設計中和用戶的云服務風險評估中。 

　　資產清單應盤點支持云服務且在提供商控制下的資產。用戶和提供商的資產分類和評估方案(evaluation scheme)應一致。 

　　提供商及其服務都應該是風險評估的主題。云服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

 　　如果提供商不能演示證明其服務的全面有效的風險管理流程，用戶應詳細評估該供應商，以及是否可以使用用戶自身的能力來補償潛在的風險管理差距。

 　　云服務的用戶應詢問管理層對云服務的風險容忍和可接受的殘余風險是否已經有所定義。

 　　信息風險管理建議

 　　信息風險管理(IRM)是將暴露(exposure)與風險聯系的法則，也是通過數據所有者的風險容忍對其進行管理的能力。如此，對于設計用以保護信息資產的機密性、完整性和可用性(CIA)的信息技術資源，信息風險管理是***先的決策支持方法。

 　　采用風險管理框架模型來評估IRM，用成熟模型來評估IRM模型的有效性。

 　　建立適當的合同需求和技術控制，來收集信息風險決策所需要的數據(例如，信息使用、訪問控制、安全控制、位置等)。

 　　在開發云計算項目需求前，采用用以確定風險暴露的流程。雖然了解暴露和管理能力所需的信息類別比較一般化，但實際收集的指標對于云計算SPI模型是特定的，是可以按照服務來采集的。 　　在使用SaaS時，絕大多數信息都由服務提供商提供。組織應在SaaS服務合同責任中制定分析信息的收集流程。

 　　當采用PaaS時，建立類似上述SaaS服務的信息采集能力。在可能的地方，包括進部署和從控制中采集信息的能力，建立對這些控制的有效性進行測試的合同條款。

 　　當使用IaaS服務提供商時，在合同中為風險分析需求信息“植入”信息透明性。

 　　云服務提供商應包括指標和控制來幫助用戶實施他們的信息風險管理需求。第三方管理建議用戶應該將云服務和安全視為供應鏈安全問題。這意味著在盡可能的程度上檢查和評估提供商的供應鏈(服務提供商的關聯和依賴關系)。這也意味著檢查提供商自己的第三方管理。

 　　對第三方服務提供商的評估應具體指向提供商在事件管理、業務連續性和災難恢復等方面的策略、流程和規程;還應包括對共用場地和備份設施的審查。這應包括審查提供商是否遵從其自身策略和規程的內部評估，評估提供商在這些領域為其控制的績效和有效性提供信息的指標體系。

 　　用戶的業務連續性和災難恢復計劃應包括提供商服務失效的場景，及提供商的第三方服務和第三方服務依賴能力的失效場景。對計劃中這部分的測試應與云提供商協調。

 　　對提供商的信息安全安全管理、風險管理和合規結構及流程的全面評估應包括：

 　　要求文檔清晰記錄如何評估設施和服務的風險、審計控制弱點、評估頻率及如何及時消減控制弱點。 

　　要求定義提供商認為的關鍵服務和信息安全成功因素、關鍵績效指標KPI，及如何測量這些與IT服務和信息安全管理相關的內容。

 　　審查提供商的法律、法規、行業及合同需求的獲得、評估及溝通流程是否全面。

 　　對整個合同或服務條款做盡職調查來確定角色、職責和可糾責性。確保法律審查，包括評估在國外或州司法管轄之外的地區當地合同條款和法律是否可以強制執行。

 　　定義應有的職責需求是否包括了所有云提供商關系的重大方面，例如提供商的財政狀況、名譽(如參考檢查)、控制、關鍵人員、災難恢復計劃和測試、保險、通信能力及轉包商的使用。

 　　總結 

　　隨著云計算逐漸發展成為一種可行的且具有高性價比的整體系統、甚至整體商業流程外包方式，云計算應用的安全管理和企業風險控制就需要提到相應的議事日程上來了，在云計算中，有效地安全管理和企業風險控制是從良好開發的信息安全安全管理過程得到的，是組織的全面企業安全管理責任應有的注意。良好開發的信息安全安全管理過程會使信息安全管理程序一直可依據業務伸縮、可在組織內重復、可測量、可持續、可防御、可持續改進且具有成本效益。