傳統的物理安全、業務連續性計劃(BCP)和災難恢復(DR)等形成的專業知識與云計算仍然有緊密關系。由于云計算的迅速變化和缺乏透明度，這就要求在傳統的安全、業務連續性規劃和災難恢復領域的專業人員不斷進行審查和監測您所選擇的云服務供應商。

當前我們面臨的的挑戰是如何合作進行風險識別、確認相互依存、整合、動態并且有效的利用資源。云計算和與之配套的基礎設施可以幫助減少某些安全問題，但也可能會增加某些安全問題，肯定不會消除人們對安全的需要。隨著業務和技術領域的重要變革的深入，傳統安全原則依然存在。

建議

• 必須謹記，數據的集中意味著云服務提供商內部人員的“濫用”是一個重大的問題。

• 云服務提供商應考慮采納大多數客戶的最嚴格的需求作為一個安全基準。在一定程度上，這些安全實踐不會對客戶的體驗產生負面影響;從長遠來說，在降低風險以及客戶驅動的安全領域的關注方面，嚴格的安全實踐應當可以被證明有很好的成本效率。

• 云服務提供商應對工作職責建立強健的隔離制度，并且對要對員工進行背景調查，要求/強制執行的非雇員的保密協議的簽訂，并且按照“履行職責的絕對需要”來限定員工對客戶知識的了解。

• 客戶應盡可能對云服務提供商的設施進行現場檢查。

• 客戶應該檢查云服務提供商災難恢復和業務連續性計劃。

• 客戶應辨識提供商基礎設施的實際物理的相互依存關系。

• 確保在合同中，對安全、恢復以及數據訪問有一個權威的分類明確地闡明有關安全、恢復、以及對數據的訪問。

• 客戶應該要求提供者的內部和外部的安全控制文件，并遵守某些行業標準。

• 確保恢復時間目標(RTO)已經被客戶充分理解并且已經訂立契約關系，并且已經在納入技術規劃過程。確保技術路線圖、政策和運作能力能夠滿足這些要求。

• 客戶需要確認提供商提供的現有的BCP政策已經被提供商的董事會批準。

• 客戶應尋求管理層的積極支持，并定期審查業務連續性程序，以確保業務連續性程序是“活”的。

• 客戶應檢查BCP是否被認證和/或被諸如BS 25999之類國際公認標準認定。

• 客戶應該確定提供商是否有任何在線資源致力安全和BCP，且該計劃的概要和清單可以供人們參考。

• 確保云服務提供商已經通過該公司銷售商安全過程(VSP)的審核，以便對共享了哪些數據以及采用了什么樣的控制手段有一個清楚地了解。VSP決定應該將風險是否可以接受反饋給給決策過程和決策評估。

• 由于云計算的動態和相對年輕的特性，上述所有活動需要更加頻繁的周期來披露還沒有和消費者溝通的變化。