評估云服務供應商的最佳標準

■山東 姜建華 姚磊磊

許多云供應商在分享其內部安全控制的數量方面都較為謹慎，主要是擔心其客戶、競爭者以及攻擊者可能會利用相關信息來對付自己。由此可能會限制企業客戶，僅允許其檢驗安全認證、第三方的評估或是自我評估，用以評估云服務供應商的數據安全資質。

某種云服務決定共享哪些相關的安全信息依賴于很多因素。有些成熟的云服務擁有廣泛的信息安全項目，不太成熟的服務可能仍在開發其安全項目。有些可能擁有SSAE 16（鑒證業務準則公告第16 號，它已被SSAE 18 替代），或者是由第三方執行的用以審計所用安全控制的ISO 27018 報告。

這些類型的審計可以使企業得到一種比較供應商內部控制的基礎，還可以揭示云供應商是否已經實施了必要的安全控制。

SSAE 16 SOC(系統和組織控制) 2 是一種關于安全性、機密性、私有性、可用性和所用的處理完整性控制的審計報告。

為評估云服務供應商，企業需要理解審計的范圍，從而確保企業愿意使用的服務在審計中進行了檢查。因為這些審計往往每年進行一次，新的特性或服務可能并不包含在審計范圍中。關于此問題的第三方的觀點對有些企業來說可能至關重要，所以這些企業可能擁有實施安全控制的更高級的保障水平。

企業可能要求實施額外的控制，以滿足自己的作為簽約過程一部分的安全需求。但是，考慮到云服務的共享屬性，要求云服務供應商僅僅為一個客戶實施一種新的安全控制的話可能存在困難。

其他的云服務可能擁有使用了行業標準的評估或認證，或者是基于特定行業的評估。很多部門已經決定使用其自己的評估或認證，以有助于其行業中的信息共享和廠商評估。

最成熟的云服務供應商可能擁有多種認證、評估和詳細的安全證明文檔，用以與潛在的客戶分享。最不成熟的云服務提供商（如剛成立的正在開發新產品的企業）可能擁有最少量的安全證明文檔。在這種情況下，企業客戶可能需要進行更為詳細的評估。

在收到安全證明文檔后，企業需要審查這些文檔，全面考慮安全的諸多方面，并要確保這些服務的安全實施。

不管用以評估云服務供應商的具體認證、標準、審計以及報告等是什么，企業都需要隨著時間的推移，來持續地監視云服務，并確保在服務合同中出現適當的安全語言。