事故响应：事故是指服务非正常提供的状态，以及引起或可能引起服务中断或服务质量下降的事件。根据信息技术基础架构库(ITIL)模型，对事故的监测和响应等级通常由两个因素决定：一是严重性，根据事故的严重性分级进行确定。二是响应时间，是指进行补救的时间

　　服务弹性与负载公差：弹性可以在数量上描述为在一个执行期内失败资源配置占全部配置要求的比例。一些CSP提供冗余能力服务，这不但可在其他用户使用时保证一定的弹性，而且更重要的是，对灾害恢复时期意义重大。

　　数据生命周期管理：主要用于测量提供商数据处理的效率和效益，包括服务的备份或数据复制系统、导出数据的能力和数据丢失防护系统。

　　技术合规性和漏洞管理：用于衡量云服务是否符合技术安全政策，包括控制的准确性和漏洞处理能力。监测技术的合规性和漏洞管理，往往要根据偏离基准线安全政策的程度进行。

　　变更管理：用于对与系统安全属性和配置有关的重要变更进行监测和管理。在签署合同时需要制定一个清单明细，如果清单上的项目发生变更，应向用户发出通知。

　　数据隔离：是一种功能性的要求，必须实时进行。数据隔离可确保不同的客户数据和服务的保密性、完整性和可用性，并保护数据免受未授权第三方用户的访问。

　　日志管理与取证：包括获取用户使用云资源的历史信息。按照其内部控制、合规、审计、法律和监管要求，客户可能需要获取以下信息：哪些用户在何时、何处、对哪些数据进行怎样的处理。

　　相关链接

　　美国率先对云服务安全监测进行部署

　　在世界各国纷纷着手研究云服务相关安全监管政策之时，美国已率先进行了云服务安全监测部署。美国国家标准与技术研究院(NIST)发布了一系列云计算白皮书，NIST的《云计算定义》也被广泛引用和采纳。近期，NIST还发布了《联邦信息系统和机构的信息安全持续监测(ISCM)》报告，为筹划内部云服务安全流程提供指导，通过持续监测，保持其对信息安全、漏洞和威胁的警觉。

　　《联邦风险和授权管理计划(FedRAMP)》是美国联邦政府机构在采购云服务时须遵守的操作指南。该计划不仅制定了安全要求，同时也监测安全措施的执行情况，例如每季度定期发布漏洞扫描报告。FedRAMP很可能成为美国云服务公共合同监测的参考基准。

(责任编辑：)