Seite 250 - Version China

230
可从不同的角度来界定需求,其主要取决于业务的用途及数据处理的
风险等级。建议每一个从云采购的信息服务,都可建立一个评分表,以便
评估潜在的问题。业务需求差异很大,也会因云服务类别不同而有所差异。
评估不能仅看单一服务商,还应考虑服务的相关方。例如,基础设施
服务商若只能保证
99.5%
的可用性,又没有适当的备援措施,则一个
SaaS
的服务承诺
99.9%
的可用性就没有多大价值。
认证
在云服务的领域中,认证一个外部信息服务商,有越来越多的要求。
特别对于数据保护的规定,要求对服务商进行现场检查。但问题是:何处
是确实的“现场”?是你与之签约公司的办公室?数据中心服务商的机房?
还是提供软件的公司总部?
就算你已确定了数据存储地点,还得问问自己,当拜访数据中心时,
能看到什么资料?如果没有经过数据保护、信息安全、数据操作及训练有
素人员严谨的监控,任何印象都只是主观。就算你印象再好,也不能保证
服务商拥有坚实的技术和严谨的管理措施。因此,由信誉良好的审计测试
机构进行认证,就扮演越来越重要的角色,通过认证审计来证明服务过程
的合规性。