欧盟网络与信息服务机构@@(ENISA)上月公布了一份就公共机构如何开展云服务政府@@采购的深度指导意见@@。
责任编辑@@:admin
这@@一称为@@《政府@@云采购安全框架@@》的指导意见对政府@@机构采购云服务时所面对的@@4个阶段@@、9个安全活动以及@@14个步骤进行了较为详细的阐述@@。
该指导意见认为@@,政府@@机构与公共组织在确保云采购安全性方面要经历@@4个阶段@@,也可以称为@@4个生命周期@@。这@@4个阶段@@分别是@@:计划阶段@@、实施阶段@@、检查阶段和验收阶段@@。
首先是计划阶段@@@@。这@@个阶段@@对于政府@@公共机构来说侧重点是制定并实施与云采购相关的安全控制政策@@,以实现云采购安全性的目的@@。
该阶段@@,政府@@公共机构在安全活动方面要做好三项工作@@。这@@三项工作分别是@@:风险预测@@、建立安全目标的结构框架以及满足云采购的安全与隐私需求@@。在风险预测@@环节@@,英国政府@@主要通过保密@@、绝密@@、特密等多个等级的划分确定云采购所遇到的不同风险@@。
其次@@是实施阶段@@@@。该阶段@@主要包括政策实施与操作控制@@。例如@@,在云采购的执行阶段@@,政府@@公共机构就要对云采购的安全性进行有效控制@@。
该阶段@@,政府@@公共机构应把全部精力放在安全控制与实施@@、部署以及认证上来@@。在这@@方面@@,西班牙就把政府@@机构的自我评估放在优先部署的位置上@@,并以此为基础@@,对云采购的安全性进行论证@@。
再其次@@是检查阶段@@。这@@一阶段的重点工作是审查与评估整个云采购系统的运行效果@@。政府@@机构主要从效率与效果两个方面对该目标进行评估@@。为确保控制环节按预期目标完成@@,政府@@机构要在该阶段@@对云采购系统的安全性进行反复测试@@。
而检查阶段对于政府@@机构来说@@,要做好的事情无非是两件@@。第一件是做好监控工作@@,这@@主要是对云采购的技术安全性而言@@;第二件是做好审计工作@@,这@@主要是对政府@@机构采购的财务安全性而言@@。
最后是验收阶段@@。这@@一阶段的工作重点主要放在查遗补漏上面@@。政府@@机构要根据检查阶段所进行的工作@@,对系统安全性是否达到预期目标进行验收@@。如果系统没有达到预期目标@@,政府@@机构就有必要对安全性所暴露出的缺陷与漏洞进行及时的修补@@,以确保云采购的顺利完成@@。
在这@@一阶段@@,政府@@机构应做好查遗补漏发现问题的整改工作与云采购的退出管理工作@@。这@@主要涉及两方面的内容@@,除了根据云采购安全框架对漏洞进行及时修补外@@,政府@@机构还要对合同终止与数据的删除与管理工作进行有效的监管@@。
ENISA在该指导意见中称@@,尽管欧盟方面成功地创建了云计算服务的交付模式@@,但许多公共机构并没有对安全相关的组织风险进行评估@@。该指导意见建议@@欧洲@@各国政府@@建立起一个针对云计算在采购活动中安全性的战略性计划@@。此外@@,该指导意见还呼吁欧洲@@各国政府@@与欧盟对@@“欧洲@@政府@@云@@”概念的推广工作进行调查@@,并以此为契机@@,让欧洲@@各国政府@@能够在国家层面对于虚拟空间@@政府@@采购安全性进行立法@@,从而确保各国云采购工作的顺利实施@@。
