歐盟網(wǎng)絡(luò)與信息服務(wù)機構(gòu)(ENISA)上月公布了一份就公共機構(gòu)如何開展云服務(wù)政府采購的深度指導意見�。
這一稱為《政府云采購安全框架》的指導意見對政府機構(gòu)采購云服務(wù)時所面對的4個階段、9個安全活動以及14個步驟進行了較為詳細的闡述��。
該指導意見認為,政府機構(gòu)與公共組織在確保云采購安全性方面要經(jīng)歷4個階段��,也可以稱為4個生命周期�����。這4個階段分別是:計劃階段��、實施階段�、檢查階段和驗收階段。
首先是計劃階段�����。這個階段對于政府公共機構(gòu)來說側(cè)重點是制定并實施與云采購相關(guān)的安全控制政策����,以實現(xiàn)云采購安全性的目的�����。
該階段,政府公共機構(gòu)在安全活動方面要做好三項工作��。這三項工作分別是:風險預測����、建立安全目標的結(jié)構(gòu)框架以及滿足云采購的安全與隱私需求。在風險預測環(huán)節(jié)��,英國政府主要通過保密��、絕密��、特密等多個等級的劃分確定云采購所遇到的不同風險���。
其次是實施階段����。該階段主要包括政策實施與操作控制��。例如����,在云采購的執(zhí)行階段�����,政府公共機構(gòu)就要對云采購的安全性進行有效控制�����。
該階段����,政府公共機構(gòu)應(yīng)把全部精力放在安全控制與實施�、部署以及認證上來。在這方面�,西班牙就把政府機構(gòu)的自我評估放在優(yōu)先部署的位置上,并以此為基礎(chǔ)���,對云采購的安全性進行論證���。
再其次是檢查階段。這一階段的重點工作是審查與評估整個云采購系統(tǒng)的運行效果�����。政府機構(gòu)主要從效率與效果兩個方面對該目標進行評估��。為確���?刂骗h(huán)節(jié)按預期目標完成����,政府機構(gòu)要在該階段對云采購系統(tǒng)的安全性進行反復測試����。
而檢查階段對于政府機構(gòu)來說,要做好的事情無非是兩件��。第一件是做好監(jiān)控工作�,這主要是對云采購的技術(shù)安全性而言;第二件是做好審計工作����,這主要是對政府機構(gòu)采購的財務(wù)安全性而言。
最后是驗收階段��。這一階段的工作重點主要放在查遺補漏上面�。政府機構(gòu)要根據(jù)檢查階段所進行的工作,對系統(tǒng)安全性是否達到預期目標進行驗收�。如果系統(tǒng)沒有達到預期目標,政府機構(gòu)就有必要對安全性所暴露出的缺陷與漏洞進行及時的修補���,以確保云采購的順利完成�����。
在這一階段����,政府機構(gòu)應(yīng)做好查遺補漏發(fā)現(xiàn)問題的整改工作與云采購的退出管理工作。這主要涉及兩方面的內(nèi)容�,除了根據(jù)云采購安全框架對漏洞進行及時修補外,政府機構(gòu)還要對合同終止與數(shù)據(jù)的刪除與管理工作進行有效的監(jiān)管����。
ENISA在該指導意見中稱,盡管歐盟方面成功地創(chuàng)建了云計算服務(wù)的交付模式�,但許多公共機構(gòu)并沒有對安全相關(guān)的組織風險進行評估。該指導意見建議歐洲各國政府建立起一個針對云計算在采購活動中安全性的戰(zhàn)略性計劃���。此外�����,該指導意見還呼吁歐洲各國政府與歐盟對“歐洲政府云”概念的推廣工作進行調(diào)查��,并以此為契機��,讓歐洲各國政府能夠在國家層面對于虛擬空間政府采購安全性進行立法���,從而確保各國云采購工作的順利實施。
