傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性計劃(BCP)和災(zāi)難恢復(fù)(DR)等形成的專業(yè)知識與云計算仍然有緊密關(guān)系。由于云計算的迅速變化和缺乏透明度，這就要求在傳統(tǒng)的安全、業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)難恢復(fù)領(lǐng)域的專業(yè)人員不斷進(jìn)行審查和監(jiān)測您所選擇的云服務(wù)供應(yīng)商。

當(dāng)前我們面臨的的挑戰(zhàn)是如何合作進(jìn)行風(fēng)險識別、確認(rèn)相互依存、整合、動態(tài)并且有效的利用資源。云計算和與之配套的基礎(chǔ)設(shè)施可以幫助減少某些安全問題，但也可能會增加某些安全問題，肯定不會消除人們對安全的需要。隨著業(yè)務(wù)和技術(shù)領(lǐng)域的重要變革的深入，傳統(tǒng)安全原則依然存在。

建議

• 必須謹(jǐn)記，數(shù)據(jù)的集中意味著云服務(wù)提供商內(nèi)部人員的“濫用”是一個重大的問題。

• 云服務(wù)提供商應(yīng)考慮采納大多數(shù)客戶的最嚴(yán)格的需求作為一個安全基準(zhǔn)。在一定程度上，這些安全實踐不會對客戶的體驗產(chǎn)生負(fù)面影響;從長遠(yuǎn)來說，在降低風(fēng)險以及客戶驅(qū)動的安全領(lǐng)域的關(guān)注方面，嚴(yán)格的安全實踐應(yīng)當(dāng)可以被證明有很好的成本效率。

• 云服務(wù)提供商應(yīng)對工作職責(zé)建立強(qiáng)健的隔離制度，并且對要對員工進(jìn)行背景調(diào)查，要求/強(qiáng)制執(zhí)行的非雇員的保密協(xié)議的簽訂，并且按照“履行職責(zé)的絕對需要”來限定員工對客戶知識的了解。

• 客戶應(yīng)盡可能對云服務(wù)提供商的設(shè)施進(jìn)行現(xiàn)場檢查。

• 客戶應(yīng)該檢查云服務(wù)提供商災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃。

• 客戶應(yīng)辨識提供商基礎(chǔ)設(shè)施的實際物理的相互依存關(guān)系。

• 確保在合同中，對安全、恢復(fù)以及數(shù)據(jù)訪問有一個權(quán)威的分類明確地闡明有關(guān)安全、恢復(fù)、以及對數(shù)據(jù)的訪問。

• 客戶應(yīng)該要求提供者的內(nèi)部和外部的安全控制文件，并遵守某些行業(yè)標(biāo)準(zhǔn)。

• 確�；謴�(fù)時間目標(biāo)(RTO)已經(jīng)被客戶充分理解并且已經(jīng)訂立契約關(guān)系，并且已經(jīng)在納入技術(shù)規(guī)劃過程。確保技術(shù)路線圖、政策和運作能力能夠滿足這些要求。

• 客戶需要確認(rèn)提供商提供的現(xiàn)有的BCP政策已經(jīng)被提供商的董事會批準(zhǔn)。

• 客戶應(yīng)尋求管理層的積極支持，并定期審查業(yè)務(wù)連續(xù)性程序，以確保業(yè)務(wù)連續(xù)性程序是“活”的。

• 客戶應(yīng)檢查BCP是否被認(rèn)證和/或被諸如BS 25999之類國際公認(rèn)標(biāo)準(zhǔn)認(rèn)定。

• 客戶應(yīng)該確定提供商是否有任何在線資源致力安全和BCP，且該計劃的概要和清單可以供人們參考。

• 確保云服務(wù)提供商已經(jīng)通過該公司銷售商安全過程(VSP)的審核，以便對共享了哪些數(shù)據(jù)以及采用了什么樣的控制手段有一個清楚地了解。VSP決定應(yīng)該將風(fēng)險是否可以接受反饋給給決策過程和決策評估。

• 由于云計算的動態(tài)和相對年輕的特性，上述所有活動需要更加頻繁的周期來披露還沒有和消費者溝通的變化。