我们的建议

　　在讨论是否需要迁移到云服务时，企业必须仔细进行风险评估，透彻地洞察云服务如何能帮助他们提高业务价值，并且不会将他们的业务暴露危险之中，从而实现其IT目标。如下是我们的建议：“企业IT管理部门需要认识到，云服务提供商可以作为企业内部IT部门的一个扩展。所有企业在其内部会遇到的风险，云服务供应商也会遇到。关键的区别是，在企业内部可以更容易地验证，执行和管理控制这些风险。” 选择一家能够提供验证控件的云服务供应商。这些控件应该包括SSAE审计、数据可访问性、数据中心的安全控制和数据加密。“选择私有云，或一款虚拟私有云，系统实际上是在公共云环境内通过加密彼此分离的。”分析企业的哪些遗留应用程序可以转移到云服务。咨询您的云提供商是否有明确的灾难恢复计划。一套企业内部的恢复策略也将有助于快速转移到另一种IT服务模式。定期对基于云的重要基础资产进行备份，并通过强大的加密保护数据。要求云服务供应商定期进行安全事件警报，并要求他们标明特定的关键资产任务。从服务提供商那里寻求独立的审计报告，以便获得更高的透明度，并检查云服务提供商是否满足诸如ISO 27001、27002、ISO 31000等工业产品认证标准和支付卡行业数据安全标准(PCI DSS)认证标准。为云计算增加额外的安全措施：如单点登录访问多个云应用，并利用ITIL或ITSM等安全框架。

　　通过加强IT治理，建立可靠的控制，企业可以从部署云计算解决方案中获得真正的竞争优势。任何决策都应该是基于对一系列的驱动因素的分析的基础上做出的，而不应该仅仅因为一点风险的存在就畏首畏尾，这无疑会导致企业失去竞争优势，无法利用最好的功能技术为企业的业务服务。企业的首席信息官和IT关键决策者应该从控制分析的角度观察核心问题，而不是仅仅考虑风险因素，不进行回报的权衡。

　　责任编辑：余芯