以下信息资源能够协助您确定云计算策略。欧洲网络及信息安全局(ENISA)制定了“云计算风险评估”规范，耶律哥论坛有“云立方计算模式”，而云安全联盟(CSA)发布了“云计算重点关注区域安全指导”，涵盖13个关注的领域。几乎所有的案例中都包括以下关键问题:

　　◆法规遵守:云服务供应商保证使客户遵守各种规定和标准，如PCI/DSS、HIPAA、违约情况通报方面的法规以及欧盟数据保密法令等等。

　　◆数据管制:确保客户数据有适当的技术防护措施，得到合法的保护，并能够按照客户要求供客户使用或返还给客户。

　　◆可移植性及互用性:确保客户对包括私有云在内的任何云的投入均能移植到其他云并能与其他云实现最大程度的互用，以保护客户的投入并确保关键服务的可用性。

　　◆身份和接入管理:允许客户在SaaS服务供应商中的成熟的IAM框架与其他云服务之间作出平衡，以便在遵守法规的同时保持广泛的系统和应用控制功能。

　　针对各个云服务供应商的独立认证是显示企业遵守各种安全要求的必然结果。各种机构永远都有必要针对云服务供应商规定适当的行为准则并进行严格的供应商管理。不过要以适当频率的、极其仔细的审计措施来完全消减所有风险并不现实，供应商也没有能力接待所有客户审计员。适当的认证能够从某种程度上保证云服务供应商方面能够有一个合理的安全基线，同时反映客户必须证明其遵守的各种规定。从云服务供应商的角度来看，在数量较少，但较为严格的认证上进行投资，比响应大量的审计要求要划算一些。如果某个机构确实需要进行审计，则专门对经过认证的供应商进行审计会更加高效和简洁，因为这往往能够缩小审计的范围。许多首席信息安全官都越来越关注一些设立上述认证的标准机构，他们认为这些机构目前过度为以供应商为中心。

　　今天，首席信息安全官们不但有机会去调整那些适用于云服务供应商的标准和认证，还确保这些标准和认证的特点能够满足他们各自工作的要求。事实上云服务供应商也希望去了解商业和法规遵守方面的需求。无论是构建私有云、尝试使用公共云、甚至是将公共云用于生产应用，首席信息安全官们都不会再有如此好的机会传达他们的需求并将安全嵌入到云服务中了。