域

指南解決的問題…

治理和企業(yè)風(fēng)險管理

機(jī)構(gòu)治理和評測云計算帶來的企業(yè)風(fēng)險的能力。例如違約的司法慣例、用戶機(jī)構(gòu)充分評估云提供商風(fēng)險的能力、當(dāng)用戶和提供商都有可能出現(xiàn)故障時保護(hù)敏感數(shù)據(jù)的責(zé)任、國際邊界對這些問題有何影響等都是討論的一些問題。

法律和電子證據(jù)發(fā)現(xiàn)

使用云計算時可能的法律問題。本部分關(guān)系到的問題包括信息和計算機(jī)系統(tǒng)的保護(hù)要求、安全性被破壞時的披露法律、監(jiān)管要求、隱私要求和國際法等。

合規(guī)性和審計

這部分考慮保持和證實(shí)使用云計算時的合規(guī)性，包括評估云計算如何影響內(nèi)部安全策略的合規(guī)性、以及不同的合規(guī)性要求（規(guī)章、法規(guī)等）。這個域還包括通過審計證明合規(guī)性的一些指導(dǎo)。

信息生命周期管理

以下這些問題將在這部分討論：管理云中的數(shù)據(jù)，包括與身份和云中的數(shù)據(jù)控制相關(guān)的項；可用于處理數(shù)據(jù)搬移到云中時失去物理控制這一問題的補(bǔ)償控制；其它項，如誰負(fù)責(zé)數(shù)據(jù)機(jī)密性、完整性和可用性等。

可移植性和互操作性

將數(shù)據(jù)或服務(wù)從一個提供商搬移到另一個提供商，或?qū)⑺�全部搬移到本地的能力。提�?/span>商間互操作性相關(guān)的問題也在這里討論。

傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)

云計算如何影響當(dāng)前用于實(shí)現(xiàn)安全性、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的操作處理和規(guī)程，主要關(guān)注點(diǎn)是討論和檢查云計算的潛在風(fēng)險，希望增加對話和討論以解決令人生畏的企業(yè)風(fēng)險管理模型的提升需求。進(jìn)而，本節(jié)還討論了如何幫助人們識別云計算在什么地方可以有助于減少安全風(fēng)險，在某些其它領(lǐng)域則增加了風(fēng)險。

數(shù)據(jù)中心運(yùn)行

如何評估提供商的數(shù)據(jù)中心架構(gòu)和運(yùn)行。主要關(guān)注在幫助用戶識別對于后面服務(wù)不利的數(shù)據(jù)中心特征，以及有助于長期穩(wěn)定性的基礎(chǔ)特征。

事件響應(yīng)、通告和補(bǔ)救

適當(dāng)?shù)摹⒊浞值氖录�檢測、響應(yīng)、通告和補(bǔ)救。嘗試解決為了啟動適當(dāng)?shù)氖录�處理和�?/span>后分析機(jī)制，在用戶和提供商兩邊都需要就緒的一些條目。本域?qū)�會幫助您理解云給您現(xiàn)有的事件處理程序帶來的復(fù)雜性。

應(yīng)用安全

保護(hù)在云中運(yùn)行或即將開發(fā)的應(yīng)用。包括將某個應(yīng)用遷移到或設(shè)計進(jìn)云中運(yùn)行是否適當(dāng)，如果適當(dāng)，什么類型的云平臺最適當(dāng)（SaaS, PaaS, •r IaaS）。還討論了一些跟云有關(guān)的具體安全問題。

加密和密鑰管理

識別恰當(dāng)使用加密以及可擴(kuò)充規(guī)模的密鑰管理的方法。本節(jié)并不是什么規(guī)定，而是側(cè)重提供信息，為什么需要這些方法，識別使用過程中出現(xiàn)的問題，包括保護(hù)對資源的訪問以及保護(hù)數(shù)據(jù)。

身份和訪問管理

利用目錄服務(wù)來管理身份，提供訪問控制能力。關(guān)注點(diǎn)是組織將身份管理擴(kuò)展進(jìn)云中遇到的問題。本域提供了就評估組織實(shí)施身份訪問管理IAM的就緒性的一些見解。

虛擬化

虛擬化在云計算中的應(yīng)用。本域關(guān)系到與多租戶、VM 隔離、VM共居（c•residence）、hypervis•r脆弱性等相關(guān)的項。特別關(guān)注于系統(tǒng)和硬件虛擬化相關(guān)的安全問題，而不是對各種形式的虛擬化的綜述。