关于云计算：4条法规要遵从(2)

2.追踪快速变化的各项标准

不管你喜不喜欢，你都得接受它。你对将什么应用软件迁移到云上和何时进行迁移的决定将从对新建或者修订标准（目前正在向云计算领域渗透）的洞悉中获得回报。

如今你可以根据SAS 70 Type II和ISO 27001认证来监管政府立法和行业规定所要求的金融和信息安全，但是这些措施并不能担保你的企业流程就一定能符合要求。

“诸如ISO27001和SAS 70这样的认证标准确实有一定帮助作用，但是他们具有时效性”Forrester Research公司的副总裁兼首席分析师乔纳森.潘尼表示“在涉及数据安全，认证管理，管理员权限控制等诸如此类的职能时就不是非常有针对性了。我们需要的是让用户对正在发生的一切有更好的可见性。目前这基本还是巨大的黑盒子”。

让用户有可见性是云安全联盟的主要目标，这家成立三年时间的组织在用户，新闻媒体和服务提供商中间快速得到了认可。云安全联盟的主要目标是开发标准化审核框架来推动用户和云厂商之间的沟通及交流。

举例来说，目前市场上的政府，风险和法规遵从标准化套装或者软件产品具备四大要素：即Cloud Trust Protocol, Cloud Audit, Consensus Assessments Initiative和Cloud Controls Matrix。Cloud Controls Matrix包括一个对他们的IT控制领域的主要标准规定基本要求的电子表格，比如“人力资源--员工雇佣终止”有哪些规定，Consensus Assessments Initiative提供的是用户和审计人员询问云提供商特殊问题的详细调查问卷。

云安全联盟和其他组织的努力外加那些行业协会和政府机构在未来几年内一定会制定出大量的行业标准。云安全联盟与国际标准化组织，国际电信联盟以及NIST都结成了正式的联盟关系，这样他们的研究成果就能被这些机构作为行业的标准规范来使用。2010年Forrester Research的调研报告称，截止2010年底有48加行业组织正在从事与安全相关的标准的制定。

3.关注服务水平协议

无论你的企业规模和状况如何，都不要设想云提供商的标准术语和条款能满足你的全部要求。通过审核云提供商的合同能彰显你的智慧。

这是来自从事云法规遵从和安全事务的国际律师事务所Hogan Lovells的律师迈克尔.莱特纳的建议。经常帮助客户协调和谈判服务水平协议的莱特纳认为应该从自身的风险收益分析去评估厂商的标准化合同是否足以满足企业法规遵从的需求。如果不能，需要判断自身的需求并和厂家协商来提高服务的级别。(责任编辑：admin)