企業(yè)必須符合廣泛的且不斷變化的規(guī)則清單，處在高度管制行業(yè)的企業(yè)更是如此。如果公司的信息安全策略和IT系統(tǒng)沒有遵守這些方針政策，那么，企業(yè)將面臨罰款和其他處罰。 金融服務(wù)和醫(yī)療保健等行業(yè)的規(guī)則包括PCIDSS、SOX、GLBA、HIPAA和HITECH，這些規(guī)則都提供了有關(guān)個(gè)人信息處理的具體方針政策。

因?yàn)樵频某霈F(xiàn)，合規(guī)性進(jìn)行了新的調(diào)整。為了保護(hù)企業(yè)，企業(yè)需要提出正確的問題，而不只是對(duì)云計(jì)算的合規(guī)需求做表面評(píng)估。

檢查所有規(guī)則的更新

合規(guī)是一個(gè)動(dòng)態(tài)的目標(biāo)。健康保險(xiǎn)流通與責(zé)任法（HIPAA）經(jīng)過多次細(xì)化，于1996年8月正式通過。報(bào)告稱合規(guī)需求從公司員工擴(kuò)大到業(yè)務(wù)伙伴，如任何第三方承包商。因此，公司必須了解如何保證信息的安全以及員工如何使用。公司還負(fù)責(zé)了解其合作伙伴的系統(tǒng)是如何設(shè)置的，以及如何處理機(jī)密信息。

根據(jù)信息的重要性排序

并非所有的信息都同等重要。因此，將信息遷移到云之前，企業(yè)首先應(yīng)進(jìn)行數(shù)據(jù)評(píng)估，并將信息按重要性排序。 例如，公司的地址沒有必要像客戶地址那樣，必須得到保障，因此，維護(hù)客戶地址更重要。 在某些情況下，組織可以將高度機(jī)密的數(shù)據(jù)永遠(yuǎn)存儲(chǔ)在本地，而不是在公有云中。對(duì)于移動(dòng)到云中的數(shù)據(jù)，企業(yè)需要與云提供商合作，從而建立健全的程序。

了解數(shù)據(jù)存儲(chǔ)的具體位置

云所面臨的一個(gè)挑戰(zhàn)是其往往設(shè)計(jì)的模糊不清。信息可以存儲(chǔ)在不同的地方，供應(yīng)商通常也有多個(gè)數(shù)據(jù)中心。在某些情況下，主要的數(shù)據(jù)中心可以容納一個(gè)“指針”，而不是記錄本身。了解數(shù)據(jù)存儲(chǔ)的位置至關(guān)重要。必須確保采取的數(shù)據(jù)保護(hù)手段能夠回答這些問題：誰(shuí)能夠看到這些數(shù)據(jù)？誰(shuí)來(lái)管理數(shù)據(jù)？數(shù)據(jù)是如何管理的？備份過程是怎樣的？備份數(shù)據(jù)存儲(chǔ)在哪里？備份數(shù)據(jù)如何存儲(chǔ)？信息與其他組織的信息是否區(qū)分開？

了解有關(guān)加密服務(wù)的詳細(xì)信息

了解有關(guān)所有云服務(wù)，包括加密服務(wù)的詳細(xì)信息，但是加密服務(wù)不盡相同。當(dāng)信息從一個(gè)地方轉(zhuǎn)移到另一個(gè)地方，保護(hù)信息是一個(gè)很好的出發(fā)點(diǎn)，但這往往是不夠的。公司還必須確保數(shù)據(jù)被有效保護(hù)，存儲(chǔ)在存儲(chǔ)主軸上。服務(wù)級(jí)別協(xié)議中應(yīng)包含信息必須被加密的規(guī)定。

檢查披露政策

全國(guó)零售商Target的一個(gè)安全漏洞泄露了100多萬(wàn)用戶的私人信息。Target的問題不僅僅在于Target的數(shù)據(jù)保護(hù)系統(tǒng)，還在于：一段時(shí)期以來(lái)，該公司向公眾隱瞞該事件。了解信息披露政策。有一些規(guī)則云供應(yīng)商和公司都必須遵守。短暫的延遲期是不可避免的，因?yàn)楣驹噲D理清一些問題，如果拖延的話，還會(huì)產(chǎn)生合規(guī)性問題。