差距

　　扩展风险边界并不是提出相同的问题。整合云需要额外的考虑以应对供应商。以下是我们在评估一个云服务供应商时可能面临的挑战：

　　1. 供应商是否具备一个外部实体可证实其有效应对安全问题的能力(SAS70,ISO 27001等)?拥有哪些内部控件?供应商如何比较我们的内部控件?差距在哪里，这种差距是否合理?

　　2. 涉及哪些数据?我们的企业提供的数据多余实际所需吗?供应商所需的最小数据要素是什么，为什么是这些要素?

　　3. 供应商是否明白我们的安全期望?这些期望是否纳入了合同中?如果供应商没有遵守合同中的安全条款，将有什么制裁办法?合同是否允许我们执行自己的周期性审计(有关数据保护方面的评估审计)?

　　这些都是要考虑的基本问题。我们是假设你已经在传输过程中保护好数据。如果没有，或许在扩展到云之前还有更大的问题需要解决。

　　结语

　　不要谈“云”色变，它并不是我们的敌人。问题并不是我们是否要整合云服务。真正的问题是如何管理好相关风险。是否每个供应商都值得信任？答案当然是否定的。但是，选择一个云服务供应商就如同选择一个内部软件，硬件或服务供应商。要了解自己的需求，表达出自己对安全性能的期望，然后对供应商的产品进行评估。和服务商保持良好的沟通，共同改进控件。