Gartner最近發(fā)布了提高云軟件即服務(wù)(SaaS)合同透明度的建議，包括強(qiáng)調(diào)年度安全審計(jì)和第三方認(rèn)證，以驗(yàn)證云供應(yīng)商的運(yùn)營(yíng)/產(chǎn)品安全性。

Gartner還建議，如果供應(yīng)商未能采取任何實(shí)質(zhì)性措施，則合同允許在發(fā)生安全漏洞時(shí)終止協(xié)議的選項(xiàng)。Gartner的報(bào)告《云合同需要安全服務(wù)級(jí)別以更好地管理風(fēng)險(xiǎn)》顯示，在未來(lái)兩年內(nèi)，80%的IT采購(gòu)專(zhuān)業(yè)人士仍將對(duì)與安全相關(guān)的SaaS合同語(yǔ)言和保護(hù)不滿(mǎn)意。

Gartner副總裁兼分析師Alexa Bona表示：“我們繼續(xù)看到云服務(wù)用戶(hù)對(duì)他們能夠從潛在和當(dāng)前服務(wù)提供商那里獲得的透明度的形式和程度感到沮喪。”

那么，您如何才能對(duì)您的云服務(wù)提供商提供持續(xù)安全服務(wù)的能力保持完全透明呢?以下內(nèi)容與可能向其他軟件即服務(wù)(SaaS)提供商提供服務(wù)的云基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商相關(guān)：

檢查合規(guī)審計(jì)報(bào)告。至少每年應(yīng)由獨(dú)立的第三方審計(jì)員進(jìn)行一次的安全審計(jì)清單很長(zhǎng)——這取決于您正在尋找什么以及您所處的行業(yè)。隨身攜帶這份數(shù)據(jù)中心審計(jì)備忘單訪問(wèn)您的數(shù)據(jù)中心。

訪問(wèn)實(shí)際的數(shù)據(jù)中心。驗(yàn)證您的云服務(wù)提供商擁有并運(yùn)營(yíng)他們的設(shè)施，然后安排參觀以檢查他們的物理和技術(shù)安全性。與他們的員工交談，確保他們接受過(guò)處理敏感數(shù)據(jù)的培訓(xùn)，以及他們關(guān)于訪問(wèn)的政策。

將行業(yè)合規(guī)性要求與其產(chǎn)品進(jìn)行比較。了解誰(shuí)對(duì)什么負(fù)責(zé)可以消除整體安全方面的任何漏洞，并弄清楚他們提供什么和不提供什么，還可以讓您深入了解他們的服務(wù)范圍。

了解他們的違規(guī)通知政策是什么。如果他們發(fā)現(xiàn)違規(guī)行為，詢(xún)問(wèn)該條款是否包括標(biāo)準(zhǔn)通知政策，以及事件發(fā)生后涉及的程序。讓您的團(tuán)隊(duì)參與管理他們的終端并確保識(shí)別聯(lián)系人。

投資于第三方風(fēng)險(xiǎn)工具。正確的軟件工具可以幫助減輕第三方甚至第四方的數(shù)據(jù)泄露。

獲得云提供商環(huán)境的透明度可能需要您的組織進(jìn)行更多的前期工作，但最終可能是值得的——Ponemon Institute在2013年數(shù)據(jù)泄露成本研究中透露，數(shù)據(jù)泄露的成本在全球范圍內(nèi)上升:全球分析(PDF)。