云计算和外包数据安全分析及建议(2)

有了ASP、电信传输、Service Bureau协议，云计算协议将逐渐成为单向的，且协商起来较为困难。比如，一份在线的云供应商合同是无法协商的，并且相当偏向供应商：供应商对数据安全不负任何责任;用户对数据的安全、保护和备份负全责;对所有未授权访问、使用、毁坏、删除和损失的任何数据，供应商也不负任何责任。

因此，与云供应商签订外包合同需要更认真仔细，少包含术语和条件。用户应关注云计算解决方案是否保证了数据合规，最终，用户将依赖供应商提供的解决方案文本，并认为已确保合规(无论是直接——比如采用银行或医疗软件;还是间接，比如诠释特定的数据存储地点)。结果是，供应商没实现用户数据处理过程的合规即为服务失败，可被认为是未能遵循服务说明，需要依照合同进行赔偿。

跟任何外包计划一样，回顾供应商的解决方案以决定对于数据访问的控制，这是一个关键步骤。这一供应商解决方案是否实现了对企业数据访问权限的限制，是否实现了对访问者的监控(这样你可知道谁在何时访问了哪些数据)?哪些规范需要加密?数据归档的频率?是否所有的应用软件和软件进行了最新的安全升级?安全水平协议是否包括这一条款：安全系统的维持情况是一个性能参数。

3、更换供应商

采用云计算外包服务必须考虑到的另一个风险是:在外包服务终止前确保业务连续性(business continuity)。大多数外包协议都商定了退出计划及转移服务，这包括：将某一格式的数据(可被另一供应商或企业内部解决方案利用)进行转移。特定的云服务协议不包含这些问题的处理条款。比如，在线云供应商协议允许供应商在任意时间中止协议，且没有保持数据的责任。至多，协议承诺不会在三十天内有意清除数据。你必须与供应商就终止服务的问题进行协商，内容包括：将数据转移到另一供应商或企业内部，同时你应该确保数据定期转移到备份供应商那里，以保证在灾难事件发生时业务的连续性。

4、其他风险

云计算解决方案的风险有很多与其他外包解决方案相同，但是这些风险很难通过协议进行转嫁。比如，外包意味着将服务水平的测量和报告任务转给供应商，依靠供应商的基础设施来发送关键性能信息。在云解决方案中，定制空间更小。相似的，除非进行精确的外包条款协商，一旦出现问题或合作关系解除，大多数供应商给用户的赔偿数额不足。而相对传统的外包协议，云合作协议所提供的谈判空间很小。但是云外包的价格却很有诱惑力。

二、建议

因为企业对数据的控制负有责任，因此必须确保企业的云供应商从规。以下是在实施云计算外包时，一些有用的数据保护措施：

确定是否云计算外包适合你的应用软件。如果包含有敏感数据，则不适宜外包。

在将数据发到云系统之前进行加密。业内专家认为这是减少潜在风险的好方法。

控制数据访问。确保供应商限制了数据的访问者，并确保了访问者被监控。

铭记e-discovery责任和迅速获取供应商电子记录的需求。

遵从所有必须遵从的规则。因为你的企业必须承担所有不遵从数据保护法规而引发的问题。必须明确企业数据的存放地点，云供应商必须给你提供这一信息，这样就可以自检是否存在从规风险。如果供应商未告知你数据的存放地点，那么不该发送任何敏感数据。

可能的情况下，控制数据的存放地点。这是确保供应商(更深层次说，对于用户同样如此)遵从数据安全法规的最好办法。限制云供应商对数据集存放地点的决定权。

通过协议条款来要求供应商更新其保护系统，以实现与业内最佳实施策略相一致。

制订适宜的灾难恢复和业务连续性计划。要求供应商对你的企业数据进行存档，这样在系统崩溃时仍可访问数据。

由非云供应商的另一方对定期你企业的数据进行备份和/或存储。(责任编辑：admin)