云计算拥有其自己的应用风险，但其潜在的安全价值也不应该被忽视。

云计算从根本上改变了企业处理IT的方式。云带来了取得财务和业务好处的希望，包括减少IT资金和运营花费。但是，正如任何新技术一样，云计算也带来了很多的安全风险。在云计算继续演进和解决这些安全性与遵从性要求时，企业不知道云计算究竟是IT价值优化之福，还是企业风险管理之祸。但是，当云计算面临当前安全风险的同时，它还可以带来的许多安全与风险管理方面的好处。

机会与风险同在

由于基本基础设施的本质，许多与云计算有关的安全风险并不是它独有的。云会由于定义不明确与实施不佳的政策和程序、基础设施安全、物理与环境安全、灾难恢复、人员安全和IT运营安全中存在的缺陷而暴露于风险之中。云会在为一些已有的威胁推波助澜的同时，同时引入新的风险。

一些固有的风险与数据偷窃、因数据代管造成的泄露或毁坏、恶意活动的扩散，以及恶意程序感染多客户环境有关。但是，还存在因费用限制而选择低级别服务的风险。由于云是一种公用模型，因此云的消费者可能存在为了进一步降低费用而牺牲安全特性和服务的倾向，从而将自己置于危险之中。

另一个常见的重大挑战是，跨国云供应商人员的安全意识。在这种情况下，用户可能发现供应商的文化、对风险和安全与隐私需求的理解随本地法规而各不相同，或者根本没有这方面的法规。云必须7×24运行来为全球客户提供服务，必须根据峰值使用、流量模型，以及时间等因素动态汇集和分配资源，为客户提供最佳的价值。云意味着时刻处于运动之中，因此你的数据也处在运动中。

在典型的外包环境中，将数据定位在所选择的厂商网络之内并限制对数据的访问，比在云中更容易。检验厂商对合同要求，以及本地数据保护法规的遵从性挑战要比云环境中小。因为，在云环境中很难限制用户对数据的移动。

云的安全好处

把数据保存在内部曾经被认为是最安全的方式。不过现在，将数据迁移到企业之外为实现增加收入、开发新产品与服务，以及加速产品上市等业务灵活性提供了更大机会。此外，云可以提供消除运营安全管理负担（包括打补丁、日志审查、用户管理、设备管理、备份等）的机会。云还可以减少运营、安全性、审计和遵从性职能所需要的人员数量。实际上，云对于那些负责IT价值优化和最大化的人员非常具有吸引力。

在谈及风险管理、信息安全和业务连续性计划时，人们常说不存在一种尺度适合所有人的方式或解决方案。但是，云具有让一种尺度适合所有人的解决方案变为现实的潜力。以PCI遵从性为例，数量众多的商家选择一家厂商提供基于云的交易处理、结算和报告。这些商家的PCI遵从性要求的范围会发生哪些变化？

PCI-DSS是非常少的不仅规定“需要做什么”，还规定“如何做它”的全球标准之一。不管涉及应用、口令，还是访问者，它都规定得非常详细。虽然商家仍负责遵从性、任何交易的任何违规，或商家方面捕获和处理的数据，但遵从性要求的一部分范围转移到了服务提供商。这导致了向商家提供服务的标准化，以及后端数据库的标准化。在后端数据库中，来自多个商家持卡人的数据以加密的/标记化的形式保存。

当您把一部分业务转移到云时，您的IT基础设施的边界只不过被重新画了一遍，因为你仍保有数据的所有权及其安全性。定义明确和很好执行的数据分类政策（它决定数据在整个生命周期中的安全要求）不仅可以大大降低风险，同时也大大减少了费用。

云中的数据是个移动着的目标，因此让依靠数据的每个程序也变成了移动着的目标。动态的风险管理计划要求关注风险演进中对风险的控制。这反过来依赖于定义明确的数据分类政策，而数据分类政策是许多遵从性计划的基础。所以，云能够提供改进风险管理投资效益的潜力。