如果提供商不能演示证明其服务的全面有效的风险管理流程，用户应详细评估该供应商，以及是否可以使用用户自身的能力来补偿潜在的风险管理差距。

　　云服务的用户应询问管理层对云服务的风险容忍和可接受的残余风险是否已经有所定义。

　　信息风险管理建议

　　信息风险管理(IRM)是将暴露(exposure)与风险联系的法则，也是通过数据所有者的风险容忍对其进行管理的能力。如此，对于设计用以保护信息资产的机密性、完整性和可用性(CIA)的信息技术资源，信息风险管理是最优先的决策支持方法。

　　采用风险管理框架模型来评估IRM，用成熟模型来评估IRM模型的有效性。

　　建立适当的合同需求和技术控制，来收集信息风险决策所需要的数据(例如，信息使用、访问控制、安全控制、位置等)。

　　在开发云计算项目需求前，采用用以确定风险暴露的流程。虽然了解暴露和管理能力所需的信息类别比较一般化，但实际收集的指标对于云计算SPI模型是特定的，是可以按照服务来采集的。

　　在使用SaaS时，绝大多数信息都由服务提供商提供。组织应在SaaS服务合同责任中制定分析信息的收集流程。

　　当采用PaaS时，建立类似上述SaaS服务的信息采集能力。在可能的地方，包括进部署和从控制中采集信息的能力，建立对这些控制的有效性进行测试的合同条款。

　　当使用IaaS服务提供商时，在合同中为风险分析需求信息“植入”信息透明性。

　　云服务提供商应包括指标和控制来帮助用户实施他们的信息风险管理需求。第三方管理建议

　　用户应该将云服务和安全视为供应链安全问题。这意味着在尽可能的程度上检查和评估提供商的供应链(服务提供商的关联和依赖关系)。这也意味着检查提供商自己的第三方管理。

　　对第三方服务提供商的评估应具体指向提供商在事件管理、业务连续性和灾难恢复等方面的策略、流程和规程;还应包括对共用场地和备份设施的审查。这应包括审查提供商是否遵从其自身策略和规程的内部评估，评估提供商在这些领域为其控制的绩效和有效性提供信息的指标体系。

　　用户的业务连续性和灾难恢复计划应包括提供商服务失效的场景，及提供商的第三方服务和第三方服务依赖能力的失效场景。对计划中这部分的测试应与云提供商协调。

　　对提供商的信息安全安全管理、风险管理和合规结构及流程的全面评估应包括：

　　要求文档清晰记录如何评估设施和服务的风险、审计控制弱点、评估频率及如何及时消减控制弱点。

　　要求定义提供商认为的关键服务和信息安全成功因素、关键绩效指标KPI，及如何测量这些与IT服务和信息安全管理相关的内容。

　　审查提供商的法律、法规、行业及合同需求的获得、评估及沟通流程是否全面。

　　对整个合同或服务条款做尽职调查来确定角色、职责和可纠责性。确保法律审查，包括评估在国外或州司法管辖之外的地区当地合同条款和法律是否可以强制执行。

　　定义应有的职责需求是否包括了所有云提供商关系的重大方面，例如提供商的财政状况、名誉(如参考检查)、控制、关键人员、灾难恢复计划和测试、保险、通信能力及转包商的使用。

　　总结

　　随着云计算逐渐发展成为一种可行的且具有高性价比的整体系统、甚至整体商业流程外包方式，云计算应用的安全管理和企业风险控制就需要提到相应的议事日程上来了，在云计算中，有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的，是组织的全面企业安全管理责任应有的注意。良好开发的信息安全安全管理过程会使信息安全管理程序一直可依据业务伸缩、可在组织内重复、可测量、可持续、可防御、可持续改进且具有成本效益。

(责任编辑：)