摘要：在云计算中，有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的，是组织的全面企业安全管理要注意的。本文给出了在云计算中有关安全管理、企业风险控制和信息风险管理的意见和建议。

第1页:云计算中的安全管理和企业风险控制 第2页:云计算中的安全管理和企业风险控制

　　在云计算中，有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的，是组织的全面企业安全管理要注意的。良好开发的信息安全安全管理过程会使信息安全管理程序一直可依据业务伸缩、可在组织内重复、可测量、可持续、可防御、可持续改进且具有成本效益。
　　
　　云计算中的安全管理和企业风险控制的基本问题关系到识别和实施适当的组织架构、流程及控制来维持有效的信息安全安全管理、风险管理及合规性。组织还应确保在任何云部署模型中，都有适当的信息安全贯穿于信息供应链，包括云计算服务的供应商和用户，及其支持的第三方供应商。
　　
　　安全管理建议
　　
　　一部分从云计算服务节省的费用必须投资到提升提供商的安全能力、应用的安全控制和正在进行的详细评估和审计检查中，以确保能够持续满足需求。
　　
　　不管是什么服务或部署模型，云计算服务的用户和提供商都应开发健壮的信息安全安全管理。信息安全安全管理应由用户和提供商协作来达到支持业务使命和信息安全程序的一致目标。服务模型可以调整协同信息安全安全管理和风险管理中定义的角色和职责（基于各自对用户和提供商的控制范围），部署模型可能定义责任和预期（基于风险评估）。
　　
　　用户组织应包括审查具体的信息安全安全管理架构和流程，及具体的信息安全控制，作为未来提供商组织的部分应有的责任（duediligence）。应该评估提供商的安全安全管理流程和能力的充足性、成熟度及与用户信息安全管理流程的连续性。提供商的信息安全控制应基于风险确定并清晰地支持这些管理流程。
　　
　　用户和提供商间的协同安全管理架构和流程是很必要的，既是部分服务交付（servicesdelivery）的设计和开发，也是风险评估和风险管理协议，然后作为服务协议的一部分。
　　
　　在建立服务水平协议（SLA）及合同契约义务时应包括安全部门，来确保安全需求在合同层面上是可强制执行的。