歐盟網(wǎng)絡(luò)與信息服務(wù)機(jī)構(gòu)(ENISA)上月公布了一份就公共機(jī)構(gòu)如何開(kāi)展云服務(wù)政府采購(gòu)的深度指導(dǎo)意見(jiàn)����。
這一稱(chēng)為《政府云采購(gòu)安全框架》的指導(dǎo)意見(jiàn)對(duì)政府機(jī)構(gòu)采購(gòu)云服務(wù)時(shí)所面對(duì)的4個(gè)階段�����、9個(gè)安全活動(dòng)以及14個(gè)步驟進(jìn)行了較為詳細(xì)的闡述����。
該指導(dǎo)意見(jiàn)認(rèn)為,政府機(jī)構(gòu)與公共組織在確保云采購(gòu)安全性方面要經(jīng)歷4個(gè)階段�,也可以稱(chēng)為4個(gè)生命周期。這4個(gè)階段分別是:計(jì)劃階段�、實(shí)施階段、檢查階段和驗(yàn)收階段�。
首先是計(jì)劃階段。這個(gè)階段對(duì)于政府公共機(jī)構(gòu)來(lái)說(shuō)側(cè)重點(diǎn)是制定并實(shí)施與云采購(gòu)相關(guān)的安全控制政策���,以實(shí)現(xiàn)云采購(gòu)安全性的目的���。
該階段,政府公共機(jī)構(gòu)在安全活動(dòng)方面要做好三項(xiàng)工作���。這三項(xiàng)工作分別是:風(fēng)險(xiǎn)預(yù)測(cè)���、建立安全目標(biāo)的結(jié)構(gòu)框架以及滿足云采購(gòu)的安全與隱私需求。在風(fēng)險(xiǎn)預(yù)測(cè)環(huán)節(jié)�����,英國(guó)政府主要通過(guò)保密����、絕密、特密等多個(gè)等級(jí)的劃分確定云采購(gòu)所遇到的不同風(fēng)險(xiǎn)��。
其次是實(shí)施階段�。該階段主要包括政策實(shí)施與操作控制。例如����,在云采購(gòu)的執(zhí)行階段��,政府公共機(jī)構(gòu)就要對(duì)云采購(gòu)的安全性進(jìn)行有效控制���。
該階段,政府公共機(jī)構(gòu)應(yīng)把全部精力放在安全控制與實(shí)施����、部署以及認(rèn)證上來(lái)。在這方面�����,西班牙就把政府機(jī)構(gòu)的自我評(píng)估放在優(yōu)先部署的位置上���,并以此為基礎(chǔ)����,對(duì)云采購(gòu)的安全性進(jìn)行論證��。
再其次是檢查階段�����。這一階段的重點(diǎn)工作是審查與評(píng)估整個(gè)云采購(gòu)系統(tǒng)的運(yùn)行效果。政府機(jī)構(gòu)主要從效率與效果兩個(gè)方面對(duì)該目標(biāo)進(jìn)行評(píng)估����。為確保控制環(huán)節(jié)按預(yù)期目標(biāo)完成���,政府機(jī)構(gòu)要在該階段對(duì)云采購(gòu)系統(tǒng)的安全性進(jìn)行反復(fù)測(cè)試。
而檢查階段對(duì)于政府機(jī)構(gòu)來(lái)說(shuō)�,要做好的事情無(wú)非是兩件。第一件是做好監(jiān)控工作���,這主要是對(duì)云采購(gòu)的技術(shù)安全性而言�;第二件是做好審計(jì)工作����,這主要是對(duì)政府機(jī)構(gòu)采購(gòu)的財(cái)務(wù)安全性而言。
最后是驗(yàn)收階段�����。這一階段的工作重點(diǎn)主要放在查遺補(bǔ)漏上面�����。政府機(jī)構(gòu)要根據(jù)檢查階段所進(jìn)行的工作���,對(duì)系統(tǒng)安全性是否達(dá)到預(yù)期目標(biāo)進(jìn)行驗(yàn)收��。如果系統(tǒng)沒(méi)有達(dá)到預(yù)期目標(biāo)����,政府機(jī)構(gòu)就有必要對(duì)安全性所暴露出的缺陷與漏洞進(jìn)行及時(shí)的修補(bǔ),以確保云采購(gòu)的順利完成����。
在這一階段,政府機(jī)構(gòu)應(yīng)做好查遺補(bǔ)漏發(fā)現(xiàn)問(wèn)題的整改工作與云采購(gòu)的退出管理工作����。這主要涉及兩方面的內(nèi)容,除了根據(jù)云采購(gòu)安全框架對(duì)漏洞進(jìn)行及時(shí)修補(bǔ)外���,政府機(jī)構(gòu)還要對(duì)合同終止與數(shù)據(jù)的刪除與管理工作進(jìn)行有效的監(jiān)管���。
ENISA在該指導(dǎo)意見(jiàn)中稱(chēng),盡管歐盟方面成功地創(chuàng)建了云計(jì)算服務(wù)的交付模式�,但許多公共機(jī)構(gòu)并沒(méi)有對(duì)安全相關(guān)的組織風(fēng)險(xiǎn)進(jìn)行評(píng)估。該指導(dǎo)意見(jiàn)建議歐洲各國(guó)政府建立起一個(gè)針對(duì)云計(jì)算在采購(gòu)活動(dòng)中安全性的戰(zhàn)略性計(jì)劃����。此外���,該指導(dǎo)意見(jiàn)還呼吁歐洲各國(guó)政府與歐盟對(duì)“歐洲政府云”概念的推廣工作進(jìn)行調(diào)查,并以此為契機(jī)����,讓歐洲各國(guó)政府能夠在國(guó)家層面對(duì)于虛擬空間政府采購(gòu)安全性進(jìn)行立法,從而確保各國(guó)云采購(gòu)工作的順利實(shí)施���。
