尹丽波：美国云计算服务安全审查值得借鉴

首先，不断强化政府和涉及国家安全领域的网络安全管理。从克林顿政府的《国家信息安全保障采购政策》，到小布什政府的《联邦信息安全管理法案》和《联邦机构安全保障和评估产品采购使用指南》，再到奥巴马政府针对联邦云计算服务颁布的《联邦风险及授权管理计划》，美国始终采取做“加法”的思路，开展政府信息系统网络安全审查，有力保障了其要害部门的网络安全。

其次，云计算服务审查管理和协调机构的绝对权威性，是各项制度、标准得以顺利执行和实施的根本保障。国防部、国土安全部、总务署作为美国联邦最高安全决策和政府服务保障机构，对所有联邦机构具有很强的影响力、协调力和领导力，有力保证了各项审查法规、政策和标准的全面贯彻执行。

再次，云计算服务审查政策、标准完善，是规范云计算服务审查工作程序、提高审查效率的基础。完善的政策法规和标准模板既为联邦云计算服务安全审查提供了制度保障，又强化了云计算服务供应商对审查结果的认可度，有利于维护审查的公信力。同时，按照统一标准，也减少了重复审查，提高了审查结果的利用率。

最后，注重云计算服务过程中的持续监测和评估，不断推动云计算服务的安全应用。通过要求云计算服务商定期提交网络安全自我评估报告、风险态势变更报告，以及制定网络安全事件响应计划，并提交第三方机构进行独立安全测评，从而建立了云计算服务监督管理的常态机制，确保了云计算服务在联邦政府的安全推广应用。

（编辑：柳洪杰）