尹丽波：美国云计算服务安全审查值得借鉴

第二，从“谁审查，谁使用”到“统一审查，多方使用”，以风险管理和审查授权为核心，建立云计算服务审查制度。

2011年，联邦预算管理局发布首席信息官备忘录《云计算环境信息系统安全授权》，正式启动了云计算的《联邦风险及授权管理计划》（FedRAMP）。根据《联邦信息安全管理法案》，联邦政府的信息系统在联邦信息系统安全管理框架下，根据相关标准采取了安全措施后，都要进行安全评估。而对于各联邦政府部门采购云计算服务，FedRAMP采取了由第三方评估机构根据相关标准对云计算服务进行安全风险评估，FedRAMP根据评估结果进行审查，对通过审查的云计算服务给予初始授权。各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务，做到了统一审查，多方使用的高效管理，各联邦政府部门可共享安全评估与审查结果，避免了重复评估和审查。

第三，成立专门的审查机构，引入第三方评估机制，建立云计算安全管理保障机制。

FedRAMP建立了完善的云计算服务安全审查机制，明确了云计算安全管理的政府角色及职责。一是成立领导决策机构——联合授权委员会，由国防部、国土安全部、总务署三方组成，负责制定联邦政府云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等;二是设立隶属于总务署的FedRAMP项目管理办公室，负责日常管理安全评估、授权、持续监督等,并与国家标准与技术研究院合作对第三方机构进行能力认定和日常管理;三是明确云计算服务监督职责，由国土安全部负责监视、响应、报告安全事件;四是引入第三方评估机制，第三方机构必须满足FedRAMP所需的独立性和技术要求，对云计算服务执行独立的安全评估。