如何保障云安全 降低企業云應用風險

1、讓業務伙伴簽訂協議。Kam指出，協定涵蓋的實體應該認真閱讀云計算提供商的服務水平協議（SLA）條款，充分了解自己的責任和風險，并為“承擔”風險做好準備。“證實云計算管理者、存儲產品供應商和應用程序開發員中誰對數據泄露問題負責。”

2、限制用戶訪問。Kam指出，協議覆蓋的較大的實體可以通過私有云計算來消除風險。“他們可以僅通過限制機構及業務伙伴等分支機構的訪問就能消除風險，”他說，“協議覆蓋的小實體只能聽從云計算提供商提供的擺布了。”

3、研究應用程序。Kam指出，當提到安全性的問題時，云計算水平應用程序會帶來問題。不僅如此，聯邦法律要求應該把對“受保護的健康信息”的訪問控制、限制到最少的數據段。“這就意味著訪問僅限于授權用戶或已驗證用戶，信息技術人員可以登錄并檢查所有的訪問情況，”他說，“然而，這是應用程序本身的一個功能，并不是所有的程序設計能夠滿足這種安全需要。”除此之外，他指出，另外一個問題是應用程序的互操作性問題，各個程序間無法安全順利地實現數據移動，容易造成數據泄漏。“為兩個應用程序的互操作性制定標準協議非常重要，”Kam表示，“這個問題取決于供應商，但是并沒有得到高度重視。”

4、確定第三方的合法性。Kam指出，協議覆蓋的小實體在云提供商保護“受保護的健康信息”問題上沒有發言權。反過來，對于診所和其它協議覆蓋的小實體來說，為醫療協會和機構等創造平等競爭場（leveltheplayingfield）的方法是對云計算提供商進行認證，計算達到醫療信息電子化系統和健康保險流通與責任法案的要求。他指出，聯邦政府目前已經推出了一個類似的計劃，名叫FedRAMP，即聯邦風險授權管理。

5、將個人驗證信息和受保護的健康信息存檔。Kam指出，檔案提供了完整的個人驗證信息（PII）和受保護的健康信息，這些信息都是機構所保存的紙質或電子信息。“檔案將幫助確定機構收集、使用、保存和處理個人驗證信息的方式，”他說，“個人驗證信息檔案揭示了數據泄露的風險，機構可以對個人驗證信息數據進行戰略保護，根據真實信息制定租價的響應計劃。”他補充道，個人驗證信息和受保護的健康信息存檔以及隱私和安全風險評估能夠幫助確定遵從性、減少數據泄露的不良后果。

6、制定事故響應規劃（incidentresponseplan，IRP）。事故響應規劃是一種高效的、高性價比的方法，制定數據泄露事故指南可以幫助機構達到醫療信息電子化系統和健康保險流通與責任法案的要求。“事故響應規劃為響應小組提供了隱私事故的責任和行動指南，為監管機構提供了確定通知規定的具體說明，”Kam說。