■山東 姜建華 姚磊磊

許多云供應(yīng)商在分享其內(nèi)部安全控制的數(shù)量方面都較為謹(jǐn)慎，主要是擔(dān)心其客戶、競爭者以及攻擊者可能會利用相關(guān)信息來對付自己。由此可能會限制企業(yè)客戶，僅允許其檢驗(yàn)安全認(rèn)證、第三方的評估或是自我評估，用以評估云服務(wù)供應(yīng)商的數(shù)據(jù)安全資質(zhì)。

某種云服務(wù)決定共享哪些相關(guān)的安全信息依賴于很多因素。有些成熟的云服務(wù)擁有廣泛的信息安全項(xiàng)目，不太成熟的服務(wù)可能仍在開發(fā)其安全項(xiàng)目。有些可能擁有SSAE 16（鑒證業(yè)務(wù)準(zhǔn)則公告第16 號，它已被SSAE 18 替代），或者是由第三方執(zhí)行的用以審計(jì)所用安全控制的ISO 27018 報(bào)告。

這些類型的審計(jì)可以使企業(yè)得到一種比較供應(yīng)商內(nèi)部控制的基礎(chǔ)，還可以揭示云供應(yīng)商是否已經(jīng)實(shí)施了必要的安全控制。

SSAE 16 SOC(系統(tǒng)和組織控制) 2 是一種關(guān)于安全性、機(jī)密性、私有性、可用性和所用的處理完整性控制的審計(jì)報(bào)告。

為評估云服務(wù)供應(yīng)商，企業(yè)需要理解審計(jì)的范圍，從而確保企業(yè)愿意使用的服務(wù)在審計(jì)中進(jìn)行了檢查。因?yàn)檫@些審計(jì)往往每年進(jìn)行一次，新的特性或服務(wù)可能并不包含在審計(jì)范圍中。關(guān)于此問題的第三方的觀點(diǎn)對有些企業(yè)來說可能至關(guān)重要，所以這些企業(yè)可能擁有實(shí)施安全控制的更高級的保障水平。

企業(yè)可能要求實(shí)施額外的控制，以滿足自己的作為簽約過程一部分的安全需求。但是，考慮到云服務(wù)的共享屬性，要求云服務(wù)供應(yīng)商僅僅為一個(gè)客戶實(shí)施一種新的安全控制的話可能存在困難。

其他的云服務(wù)可能擁有使用了行業(yè)標(biāo)準(zhǔn)的評估或認(rèn)證，或者是基于特定行業(yè)的評估。很多部門已經(jīng)決定使用其自己的評估或認(rèn)證，以有助于其行業(yè)中的信息共享和廠商評估。

最成熟的云服務(wù)供應(yīng)商可能擁有多種認(rèn)證、評估和詳細(xì)的安全證明文檔，用以與潛在的客戶分享。最不成熟的云服務(wù)提供商（如剛成立的正在開發(fā)新產(chǎn)品的企業(yè)）可能擁有最少量的安全證明文檔。在這種情況下，企業(yè)客戶可能需要進(jìn)行更為詳細(xì)的評估。

在收到安全證明文檔后，企業(yè)需要審查這些文檔，全面考慮安全的諸多方面，并要確保這些服務(wù)的安全實(shí)施。

不管用以評估云服務(wù)供應(yīng)商的具體認(rèn)證、標(biāo)準(zhǔn)、審計(jì)以及報(bào)告等是什么，企業(yè)都需要隨著時(shí)間的推移，來持續(xù)地監(jiān)視云服務(wù)，并確保在服務(wù)合同中出現(xiàn)適當(dāng)?shù)陌踩Z言。