《企业网D1Net》10月4日讯

这个星期，欧盟委员会(EC)和信息专员办公室(ICO)都就云计算安全发布了指导方针。

前者是关于确保理解和给予足够清晰，以及利用财务效益，而ICO的指导方针则是关于提醒企业在进一步追寻云计算时别忘了对个人数据的责任。

ICO说，即使相关公司已经将个人数据迁移到云网络供应商处，也仍热富有照看个人数据的责任。ICO说至于究竟有多少企业根本没有意识到他们就算将个人数据移交给云网络供应商也仍然负有责任，实在令人担心。

Simon Rice博士——ICO技术政策顾问，同时也是这些方针的作者——如此说道：“关于外包数据的法律十分清晰。作为一个企业，你对于保证你的数据安全毫无疑问负有责任。你可以外包一些数据处理过程，正如云计算中的那样，但是那些数据被用作何事、获得怎样的保护，仍然是你的责任。”

“对于一个组织来说，若认为这些指导方针只是将一些数据存在不同处的一些工作，就实在太天真了。只要牵涉到个人信息的地方，赌注都很高，而ICO已经表明了它将在坚决反对那些不符合数据保护法的人。”

去年Field Fisher律师事务所的合伙人Stewart Room告诉SC杂志，数据保护指令的变化将包括一个“绑定安全处理器规则”，即数据所有者将不会承担经云供应商之手造成的损失。

他说：“如果你外包给一个已认证的公司，一旦他们损害到你的数据，你不用自己承担责任。我相信这对于那些至今为止依然对云端第三方责任以及安全性感到担忧的企业采用云服务而言，将是重要的一步。”

Vormetric公司欧洲、中东、非洲地区副总裁Paul Ayers说，这些指导方针对于全体范围内的企业数据保护责任以及可能伴随数据不恰当管理接踵而至的危险来说，均是一个及时的提醒。

他说，“一些一厢情愿的公司相信，利用云就能给自己摆脱掉保护数据安全性的责任。但是事实并非如此。公司们仍要有能力确定他们的数据托管于何处以及哪些数据保护政策于此相关。

“云在敏捷度和成本节省前景方面提供了明显的优势，但是，拥有数据的企业作为最终义务所在地，必须拥有数据安全性的所有权。当涉及到公有云中的敏感数据时，企业是最终负责的，且需要进行尽职调查。”

信息安全论坛（ISF）的全球总裁Steve Durbin说，这些指导方针是一个提醒，提醒企业（而非服务供应商）早涉及到云时，对保护数据负有责任。

“作为结果，企业在将其移到云端之前需要评估所有数据的敏感性，并确保恰当的安全保护措施已经到位，”他说。

“我们建议组织首先开发一个云安全架构，详细说明他们的数据将如何被使用，纳入安全性控制，这在符合最新的使用诸如实时审计、加密和身份访问管理政策等功能的隐私法案时会用得上。”

“其次，因为云计算供应商都是外部供应商，组织在和他们合作时就需要考虑许多的关键因素，例如谁有权访问数据日志，以及谁将最终拥有这些信息。等等。”

一个外包云计算的关键领域是要确定你所外包的公司和你兼容的且经同样的风险评估的。如ICO所言，企业仍旧对遵循数据保护法律负有责任，即使这些数据已被服务供应商所照管。

在其他相关新闻中，EC发布了关于云计算中数据所有权的指导方针。它说，它最新的策略是创建一个“针对云计算的单一规则，直到2020年使欧盟GDP每年增长€1600亿。”

EC说，尽管云计算被大规模使用，无论是经由社会化媒体还是存储或者通过节省办公空间和减少对室内IT支持团队的需要，欧盟还没有获得云计算的全部潜力，许多业务都因数据安全的不确定性或者因在不同云供应商之间转移数据而推迟。

它提出了一个战略，用一套将通过欧洲企业促进云计算使用的单一规则。它说这将能：确保用户能够从一个云端转移数据至另一个云端或干脆撤出数据；提供一个欧盟范围的对值得信任的云供应商的认证；同样地推出针对云计算的“模型合同”，使法律责任更清晰。最终，它引进了一个公共部门和行业之间识别需求且确保欧洲IT部门能够满足的“欧洲云伙伴关系”。

EC的策略文件包括3个关键体制能发挥作用的领域：标准；服务水平协议；公共部门经欧洲云伙伴关系的采用。

Fiberlink的信息安全官David Lingenfelter说：“这是一个持续验证，云计算并不只是一个可行的技术解决方案，还是一个关于互联网和通讯在未来几年将怎样进步的坚实基础。”

“随着欧盟连续发力并采纳这种集成云计算策略的通讯方式，他已经开始想更进一步在整个欧盟范围采纳云服务敞开大门。”

Michel Robert ,英国图案管服务提供者MD——Claranet说，该报告应强烈建议云供应商给予他们的客户对于他们的数据将托管在何处以及何时可能在本地设备上托管他们的数据有一个清晰的理解。

“在数据位置上没有明确性，在云中保持并增强信用将会越来越难。我们期待并希望欧盟委员会能促进鼓励服务供应商在其运营地使用国内数据中心，对他们的客户要实现数据存储地的透明，”他说。

数据保护专家，国际法律事务所TaylorWessing的合伙人Vinod Bange说，很难看出这些计划怎样针对云计算的挑战提出新鲜的解决方案。

Bange 说：“一些措施是受欢迎的，比如安全标准认证，鼓励欧盟数据保护改革逐渐加速”。但是，简单指向诸如绑定企业规则(BCR)这样的数据保护方案并不是最好的解决方法。事实是，从一开始就实施BCR方案，并以监管机构批准给它“生命”结束，可能需要花上数年才能实现。

“新思维会欢迎这些，例如允许云BCR方案在早期程序中已经被视为充分——比如诸如安全性认证这样的关键里程碑一旦实现。比起其他，这将更快地提供更多的不违反数据法律的确定性”

本周宣布的声明表明云计算安全的困境可能行将结束。有一个来自ICO 和EC的识别，已经存在，人们也正在做这件事，所以下一个挑战是在一个监管框架内来做，且企业和用户都能理解他们在做的事。

ICO指导方针很简单，就是指导方针，但是因为它不再是“没牙的老虎”，它的建议应该被考虑。至于EC，其计划经常不得不经历一个无边的杀人机器，其中可能会有一些难以辨认的不同出现。