云计算优化了IT服务的采购，不管是经由内部还是外部供应商。原因很简单——云计算以一种标准方式来提供远程服务。从多个租户共享的应用程序(公有云)，到单一用户使用的虚拟服务器(私有云)，云服务多种多样，并不局限于单一模式。

云计算的一大优势在于，云服务提供商能够以更低的价格提供更优质的服务。究其原因，是因为凭借足够大的运营规模，云提供商有能力吸收高技能的员工，最先进的技术等提供安全服务不可或缺的要素。一般来说，比起中小型机构，大型云提供商更有可能以更低的价格提供更安全更优质的服务。

众所周知，公有云提供多用户共享的应用程序，而社区云却只局限于特定群组(例如政府或医疗机构)，并且成员也受到严格控制。因此，社区云在降低“合租”带来的风险时，保留了云规模上的很多优势。私有云为特定机构提供应用程序和基础设施，允许其外包IT基础设施的管理权，并且在资源位置和管理上进行更严格的控制。但由于私有云在经济规模上潜力较小，所以部署成本可能高于公有云。另外，受到可用资源的限制，私有云的弹性也可能更低。

与云计算技术有关的信息安全风险取决于服务和交付模式，而特定风险则取决于组织的个性化需求。其中，常见的安全担忧主要存在于服务和数据的保密性、整合和可用性三个方面。

从客户的角度来说，风险管理的最佳途径是展开一份尽职调查(due diligence)。具体来说，就是确保云服务提供商充分理解顾客需求，恰当评估风险，控制符合服务水平协议(service level agreements)。

一些最基本的信息安全问题归纳如下。由于云计算覆盖广泛的特点，这些问题的优先级别将取决于所采用的模型和个人情况。

•合规性：根据法律法规，判断业务要求是否合规。同时，确保云服务提供商知道如何满足这些要求。

•服务位置：判断云服务提供商、服务以及数据在地理位置上受到的法律约束，并确保该问题能在服务合同中妥善处理。

•数据安全：对准备迁移到云的数据进行识别和分类，并位其保密性、完整性以及可用性设定具体的安全要求。确保数据的所有权有在合同中具体涉及。

•可用性：标识服务的可用性要求，并确保你的提供商能够实现。不要忘了由你来亲自掌控中间基础设施和设备。

•身份和访问管理：为身份控制和访问管理设定具体需求，并保证安全交付。

•内部人员滥用特权：确认云服务提供商是否专门具备进程和技术，以合理控制特定访问，进而防止数据泄露。

•互联网威胁：对基于互联网的威胁，确定必需的保护级别，以保证同时从云提供商和企业内部得到足够的安全保护。

•监控：在不同用户之间分离监测数据时，确保同时满足业务和法律要求。

想要安全地拥抱云计算，享受云计算带来的种种好处，关键在于拥有一套优秀的IT治理工具，例如COBIT。COBIT能为你提供以下方面的指导：

•为基于云的解决方案确定具体要求。

•根据要求，进一步确定治理需求。有些应用程序可能比其他更为重要。

•建立方案来更好地理解安全风险和弱点，并根据根据管理要求来决定风险应对方式。基于COBIT治理框架的Risk IT就是一个理想的IT风险框架。

•了解云服务提供商提供的认证和审计报告的具体内涵及覆盖范围。

通过提供采购和IT服务交付的替代方案，云计算成功地削减了企业成本。事实上，对于非核心的内部功能，例如IT，很多机构已经采取了外包模式。然而，在向云过渡的过程中，风险的考虑至关重要。同样，良好的治理是云计算顺利发展的保障。