关于云计算安全问题，有哪些因素帮助你做出决策?

Reardon：在作出决策之前，我们会参考国家标准与技术研究所颁布的联邦信息安全管理准则中建议的风险管理框架-Risk Management Framework进行分析。操作任何计算系统都是有风险的。且即使你不操作也是有影响的，因此业务人员需要将这种影响视为提供服务伴随风险的一部分。如果你将云计算放在这个大背景下，你就可以开始根据你的需求和预算进行抉择了。

回到运营的持续性：我们过去都是自己来管理软件，但是后来发现引入外包服务会降低成本。与此同时州政府的不同部门可以分享这个软件，这样做的好处是很多的。然后我会去检查有哪些信息如果泄露了，是否存在信息被泄露给了不法分子的风险?答案是否定的。只有在系统被破坏的同时我们又遇到了极端情况下负面影响会显现。我们需要分析和衡量所有不同风险，决定愿意接受哪些风险。

如何让业务人员参与到云计算安全和其他风险管理的决策中?

Reardon：这是一个老生常谈的话题，但是很少能做到：如果做IT管理?我所在的管理和计划部门，我们会努力让业务部门的干系人加入共同作出决定。这是乔治亚州的做法--但并不是一成不变的，以我曾经工作的经验在某些地方安全决策都是由负责安全的专员作出，他们会说“不，我们不会使用云技术”且业务方只能服从。我还遇到过业务方并不关心安全因素，他们只会对安全专员提出要求“确保这些是安全的”。上述这两种情况都不好，因为事实上在作出决策之前必须考虑安全因素。

我们的想法是安全的主要部分是信息风险管理，业务在考虑其他风险时也需要考虑这一点;其次是满足需要。这是不同方面，他们有很多相关的信息，但是他们通过不同方式管理。

接下来要做的是管理剩余风险和决策，我是否需要消除风险，减少风险或者接受风险?我是否可以通过与供应商签署合同或者购买保险将风险转嫁?这些都是我们选择云计算时需要做的商业决定。如果我遇到上述问题却不敢决定，我们就不可能使用云技术。再比如因为商业需求得到了满足我们从风险角度去分析，这就是我们需要做的商业决定。

(责任编辑：)