大到政府法规，例如《萨班斯·奥克斯利法案》(SOX)以及欧盟数据保护法，小到行业法规，例如支付卡行业数据安全标准(PCI DSS)以及美国健康保险携带和责任法案(HIPAA)，云规则可谓无处不在。或许你已经实现了内部掌控，但在向公共云计算基础设施平台抑或基于云的应用套件转移的过程中，面对云供应商，你不得不放弃一些掌控。

　　这正是今天很多审计员、CIO和CEO的一大困扰。他们迫切地想知道：怎样才能在大力发展“云”的同时遵守云规则，避免声誉受损。一些分析师、供应商和顾问就这个问题给出了以下建议：

　　1.认清云对IT工作负载的影响

　　当你评估云供应商时，试着去寻找能在用户身份、访问管理、数据保护和事件响应方面提供良好策略的供应商。这是最基本的合规要求。然后，一旦你给未来的供应商具体制定合规要求，将很可能遭遇具体的“云”挑战。

　　数据定位就是其中之一。举例来说，欧盟数据保护法案禁止欧盟居民的个人信息外流。因此，你的云供应商必须确保将欧盟客户的信息保存在欧洲的服务器上。

　　多租户和清除配置也将带来挑战。公用云提供商采用多租户架构来降低服务器工作负载，同时削减成本。但这就意味着将与其他企业共享服务器空间。因此，你必须清楚云服务商能提供何种保护措施，以避免向其他企业妥协。根据数据的重要程度，你可能需要对之加密。例如，美国健康保险携带和责任法案(HIPAA)就要求对用户所有数据进行加密，不论数据是否正被使用。

　　随着密码身份认证技术越发复杂，为用户清除配置也愈发具有挑战性。不可否认，联合身份管理计划帮助用户更方便地登陆至多个“云”，但也导致配置的清除更为棘手。“当雇员离开公司，你希望按一下按钮，就可以自动关闭他们的Windows帐户和所有企业内部应用程序。同时，你希望雇员的移动电话无权获取企业信息，雇员无权接触企业SaaS应用。”身份管理及合规工具提供商Centrify总裁Tom Kemp 表示，目前看来，自动清除配置尚未实现基于云平台和内部部署系统的同时应用。

　　2. 跟踪瞬息万变的云标准

　　不论喜欢与否，你都是“云”的早期应用者。将哪些应用程序迁移到云?什么时候迁移?加深对云计算新标准的理解有利于做出更好的抉择。

　　今天你可以参照SAS 70 Type II和ISO 27001两大标准，以遵守金融和信息安全方面的政府及行业法规。但这些标准不一定适合公司发展。

　　“诸如ISO 27001和SAS 70的标准很有效，但可能已经过时。”市场研究公司Forrester Research的副总裁兼首席分析师Jonathan Penn进一步表示，“当涉及数据安全，身份管理和管理员控制时，这些标准也并非很具体。我们必须让用户清楚即将发生的一切，而现在这近乎一个"黑箱"。”

　　提高透明度是云安全联盟(CSA)的一大目标。CSA成立3年来受到了用户、审计师和服务提供商的广泛欢迎，其主要目标是标准化审计框架，加强用户和云供应商之间的沟通。

　　目前，GRC(监控、风险和合规)标准套件进展顺利，它包含4大要素：云信托协议，云审计，共识评估倡议和云控制矩阵。其中，云控制矩阵以电子表格的形式罗列了企业遵守其IT控制领域标准须达到的基本要求，例如“人力资源-终止雇佣关系”。而共识评估倡议就用户和审计师对供应商在控制领域的具体期望，提供了一份详尽问卷。

　　基于CSA等联盟，包括行业团体、政府机构的共同努力，未来几年内，新标准将会层出不穷。CSA已经与ISO(国际标准化组织)，ITU(国际电信联盟)，NIST(美国国家标准和技术协会)正式结盟，以帮助这些组织进一步完善标准。据调研公司Forrester Research报道，截至2010年底，已有48个行业团体致力于云安全相关标准的研究。