云風(fēng)險管理策略旨在通過緩解風(fēng)險，讓高風(fēng)險變成較低的風(fēng)險。你在制定策略時應(yīng)該采取分四步走的方法，并且充分考慮到不同的用戶們會如何認識和看待該策略(比如，有些用戶需要的靈活性高于策略中規(guī)定的靈活性。

如何制定云風(fēng)險管理策略?

第一步：確認和識別資產(chǎn)

軟件即服務(wù)(SaaS)用戶僅限于他們用來訪問SaaS應(yīng)用程序的臺式機、筆記本電腦，以及/或者平板電腦。

平臺即服務(wù)(PaaS)開發(fā)人員使用更多的資產(chǎn)。PaaS開發(fā)人員可使用計算機及其工具來開發(fā)和管理應(yīng)用程序;開發(fā)人員還在服務(wù)提供商提供的操作系統(tǒng)上運行其開發(fā)的應(yīng)用程序。

基礎(chǔ)設(shè)施即服務(wù)(IaaS)專家使用服務(wù)提供商提供的網(wǎng)絡(luò)、存儲或計算資源。

第二步：評估和分析風(fēng)險

你需要評估每種資產(chǎn)的風(fēng)險，然后將它們分類成低風(fēng)險、中風(fēng)險或高風(fēng)險。至于風(fēng)險是人為風(fēng)險(比如錯誤的應(yīng)用程序邏輯)，還是自然災(zāi)害(比如地震頻發(fā)地區(qū))，那沒有什么關(guān)系。

第三步：實施防范措施

在實施防范措施之前，你應(yīng)該確保它可以因此將高風(fēng)險緩解成較低的風(fēng)險。典型的防范措施包括故障切換機制、閏年識別、嵌套式防火墻以及雙因子驗證(比如強密碼外加面部識別)。如果針對某項資產(chǎn)的防范措施未能帶來積極的投資回報，你就應(yīng)該為該資產(chǎn)投保。

第四步：評審資產(chǎn)、風(fēng)險和防范措施

你應(yīng)該定期評審資產(chǎn)、風(fēng)險和防范措施(通常是每三個月或每六個月評審一次)。你在這么做的過程中可能會發(fā)現(xiàn)：已購置了新的資產(chǎn)。比如說，你從貴企業(yè)獲得最新款式的平板電腦，你用它來訪問SaaS應(yīng)用程序?；氐降谝徊郊醋R別資產(chǎn)，從頭來過。由于你用PaaS開發(fā)的某個應(yīng)用程序的業(yè)務(wù)需求發(fā)生了變化，因而出現(xiàn)了新的風(fēng)險。如果你的資產(chǎn)庫里面沒有出現(xiàn)任何新的資產(chǎn)，就回到第二步即評估風(fēng)險。不然，就回到第一步，從頭來過?？赡苄枰獙嵤┬碌姆婪洞胧?。某項新技術(shù)可能讓防范措施花較少的錢就能獲得更高的成效，或者出現(xiàn)新的風(fēng)險時，就可能需要實施新的防范措施。至于你是PaaS開發(fā)人員還是IaaS基礎(chǔ)設(shè)施專家，那沒有關(guān)系。再次執(zhí)行分四步走的過程。