欧盟网络与信息服务机构(ENISA)上月公布了一份就公共机构如何开展云服务政府采购的深度指导意见。
这一称为《政府云采购安全框架》的指导意见对政府机构采购云服务时所面对的4个阶段、9个安全活动以及14个步骤进行了较为详细的阐述。
该指导意见认为,政府机构与公共组织在确保云采购安全性方面要经历4个阶段,也可以称为4个生命周期。这4个阶段分别是:计划阶段、实施阶段、检查阶段和验收阶段。
首先是计划阶段。这个阶段对于政府公共机构来说侧重点是制定并实施与云采购相关的安全控制政策,以实现云采购安全性的目的。
该阶段,政府公共机构在安全活动方面要做好三项工作。这三项工作分别是:风险预测、建立安全目标的结构框架以及满足云采购的安全与隐私需求。在风险预测环节,英国政府主要通过保密、绝密、特密等多个等级的划分确定云采购所遇到的不同风险。
其次是实施阶段。该阶段主要包括政策实施与操作控制。例如,在云采购的执行阶段,政府公共机构就要对云采购的安全性进行有效控制。
该阶段,政府公共机构应把全部精力放在安全控制与实施、部署以及认证上来。在这方面,西班牙就把政府机构的自我评估放在优先部署的位置上,并以此为基础,对云采购的安全性进行论证。
再其次是检查阶段。这一阶段的重点工作是审查与评估整个云采购系统的运行效果。政府机构主要从效率与效果两个方面对该目标进行评估。为确保控制环节按预期目标完成,政府机构要在该阶段对云采购系统的安全性进行反复测试。
而检查阶段对于政府机构来说,要做好的事情无非是两件。第一件是做好监控工作,这主要是对云采购的技术安全性而言;第二件是做好审计工作,这主要是对政府机构采购的财务安全性而言。
最后是验收阶段。这一阶段的工作重点主要放在查遗补漏上面。政府机构要根据检查阶段所进行的工作,对系统安全性是否达到预期目标进行验收。如果系统没有达到预期目标,政府机构就有必要对安全性所暴露出的缺陷与漏洞进行及时的修补,以确保云采购的顺利完成。
在这一阶段,政府机构应做好查遗补漏发现问题的整改工作与云采购的退出管理工作。这主要涉及两方面的内容,除了根据云采购安全框架对漏洞进行及时修补外,政府机构还要对合同终止与数据的删除与管理工作进行有效的监管。
ENISA在该指导意见中称,尽管欧盟方面成功地创建了云计算服务的交付模式,但许多公共机构并没有对安全相关的组织风险进行评估。该指导意见建议欧洲各国政府建立起一个针对云计算在采购活动中安全性的战略性计划。此外,该指导意见还呼吁欧洲各国政府与欧盟对“欧洲政府云”概念的推广工作进行调查,并以此为契机,让欧洲各国政府能够在国家层面对于虚拟空间政府采购安全性进行立法,从而确保各国云采购工作的顺利实施。
