美國發(fā)布云計算安全評估和授權(quán)政策建議書

    2010年11月2日，美國政府CIO委員會發(fā)布由CIO Vivek Kundra 簽署的關(guān)于政府機構(gòu)采用云計算的政府文件，文件闡述了美國政府對于云計算服務的基本立場和政策，分析了為什么需要考慮評估云計算、采用云計算帶來了什么挑戰(zhàn)、接下來政府、各機構(gòu)、私營企業(yè)、業(yè)界等需要采用哪些行動等，并針對云計算的安全防護，以NIST和FISMA的相關(guān)安全標準和控制為基礎(chǔ)，發(fā)布了征求意見稿。

    文件首先指出采用云計算對于美國政府來說是風險也是機遇，機遇體現(xiàn)在更高的IT效率，成本方面的節(jié)省以及綠色計算等帶來的環(huán)境保護。但是，要不要采用云計算不是一個基于技術(shù)的決定，而是基于風險的決定。因而需要政府、各機構(gòu)謹慎評估云計算相關(guān)的安全風險，并與自己的安全需求進行比對分析。

    文件建議由一個政府授權(quán)機構(gòu)對云計算服務商進行統(tǒng)一的風險評估和授權(quán)認定，從而加速云計算的評估和采用，降低風險評估的費用。

    個人以為，文件令人印象深刻的是開放性和坦誠，強調(diào)了這個評估和授權(quán)過程的透明，以及廣泛參與的重要性。