云风险管理策略旨在通过缓解风险，让高风险变成较低的风险。你在制定策略时应该采取分四步走的方法，并且充分考虑到不同的用户们会如何认识和看待该策略(比如，有些用户需要的灵活性高于策略中规定的灵活性。

如何制定云风险管理策略?

第一步：确认和识别资产

软件即服务(SaaS)用户仅限于他们用来访问SaaS应用程序的台式机、笔记本电脑，以及/或者平板电脑。

平台即服务(PaaS)开发人员使用更多的资产。PaaS开发人员可使用计算机及其工具来开发和管理应用程序;开发人员还在服务提供商提供的操作系统上运行其开发的应用程序。

基础设施即服务(IaaS)专家使用服务提供商提供的网络、存储或计算资源。

第二步：评估和分析风险

你需要评估每种资产的风险，然后将它们分类成低风险、中风险或高风险。至于风险是人为风险(比如错误的应用程序逻辑)，还是自然灾害(比如地震频发地区)，那没有什么关系。

第三步：实施防范措施

在实施防范措施之前，你应该确保它可以因此将高风险缓解成较低的风险。典型的防范措施包括故障切换机制、闰年识别、嵌套式防火墙以及双因子验证(比如强密码外加面部识别)。如果针对某项资产的防范措施未能带来积极的投资回报，你就应该为该资产投保。

第四步：评审资产、风险和防范措施

你应该定期评审资产、风险和防范措施(通常是每三个月或每六个月评审一次)。你在这么做的过程中可能会发现：已购置了新的资产。比如说，你从贵企业获得最新款式的平板电脑，你用它来访问SaaS应用程序。回到第一步即识别资产，从头来过。由于你用PaaS开发的某个应用程序的业务需求发生了变化，因而出现了新的风险。如果你的资产库里面没有出现任何新的资产，就回到第二步即评估风险。不然，就回到第一步，从头来过。可能需要实施新的防范措施。某项新技术可能让防范措施花较少的钱就能获得更高的成效，或者出现新的风险时，就可能需要实施新的防范措施。至于你是PaaS开发人员还是IaaS基础设施专家，那没有关系。再次执行分四步走的过程。