章节总结

IT系统失败，停电，内幕欺诈，犯罪团伙和敌对国家的网络攻击......公司面临的风险很长。不遵守法律和监管要求是另一个主要风险，其后果，在当局施加的罚款和其他处罚方面，可能远远超过其他操作风险损失事件造成的损害。

了解外包的运营和合规风险

将服务移动到云将一些风险管理职责转移到第三方云服务提供商（CSP），但只是管理风险转移;对实际风险的责任仍然存在于公司，而不是CSP。因此，公司的运营风险管理框架必须考虑云服务采用所产生的特殊情况。该框架的一个重要组成部分应该是对信息资产进行分类 - 例如知识产权，客户数据库和财务信息 - 以便管理它们面临的风险;在合同中包含审计云环境的权利;退出战略，具有相关的合同条件;涵盖云服务全部范围的业务连续性计划; IT服务管理程序和控制;以及重新设计的运营模式，以确保适当的团队结构和功能来管理云服务。

网络安全

网络风险值得特别关注。安全必须紧张。入侵者在互联网甚至封闭系统上访问IT系统的风险迫使组织提高安全性。然而，攻击不断发生，公司防御措施因违规而受到破坏。公司需要了解他们面临的整体网络威胁，迁移到云时可能会遇到哪些具体威胁以及应采取的其他安全措施。他们还需要评估云提供商的网络安全程序，以确保满足客户的需求。

法律和法规遵从性

遵守国家有关数据的法律和法规是一个必须解决的问题。谁拥有这些数据？应该在哪些国家/地区存储数据？谁被允许访问存储在另一个国家/地区的数据？托管在云服务和其他互联网平台上的数据受存储数据的国家/地区的法律和法规的约束。欧盟也有适用于境外数据的规则。通用数据保护条例（GDPR）于2018年5月生效，旨在改善组织收集，存储和处理数据的欧盟公民的数据保护;但该法规的范围扩展到使用欧盟以外服务器的公司，如果这些服务器持有欧盟公民的数据。必须理解GDPR的全部含义。

阅读「链接」

主要建议

1. 应为云创建组织内的风险管理框架。了解外包的运营和合规风险至关重要。
2. 通过所有风险和监管复杂性绘制路线将确保公司获得从云中获得的利益。
3. 适当的尽职调查应该是任何外包计划的标准，以了解关键风险并将控制权纳入合同。供应商风险必须考虑在内。
4. 入侵者获得IT系统访问权的风险迫使组织提高安全性。网络风险值得特别关注。安全必须紧张。
5. 遵守国家有关数据的法律和法规是必须解决的棘手问题，必须理解和遵守GDPR的全部含义。