Reardon：在作出決策之前，我們會參考國家標準與技術研究所頒布的聯邦信息安全管理準則中建議的風險管理框架-Risk Management Framework進行分析。操作任何計算系統都是有風險的。且即使你不操作也是有影響的，因此業務人員需要將這種影響視為提供服務伴隨風險的一部分。如果你將云計算放在這個大背景下，你就可以開始根據你的需求和預算進行抉擇了。

 

　　回到運營的持續性：我們過去都是自己來管理軟件，但是后來發現引入外包服務會降低成本。與此同時州政府的不同部門可以分享這個軟件，這樣做的好處是很多的。然后我會去檢查有哪些信息如果泄露了，是否存在信息被泄露給了不法分子的風險？答案是否定的。只有在系統被破壞的同時我們又遇到了極端情況下負面影響會顯現。我們需要分析和衡量所有不同風險，決定愿意接受哪些風險。

 

　　如何讓業務人員參與到云計算安全和其他風險管理的決策中？

 

　　Reardon：這是一個老生常談的話題，但是很少能做到：如果做IT管理？我所在的管理和計劃部門，我們會努力讓業務部門的干系人加入共同作出決定。這是喬治亞州的做法--但并不是一成不變的，以我曾經工作的經驗在某些地方安全決策都是由負責安全的專員作出，他們會說“不，我們不會使用云技術”且業務方只能服從。

 

　　我還遇到過業務方并不關心安全因素，他們只會對安全專員提出要求“確保這些是安全的”。上述這兩種情況都不好，因為事實上在作出決策之前必須考慮安全因素。

 

　　我們的想法是安全的主要部分是信息風險管理，業務在考慮其他風險時也需要考慮這一點;其次是滿足需要。這是不同方面，他們有很多相關的信息，但是他們通過不同方式管理。

 

　　接下來要做的是管理剩余風險和決策，我是否需要消除風險，減少風險或者接受風險？我是否可以通過與供應商簽署合同或者購買保險將風險轉嫁？這些都是我們選擇云計算時需要做的商業決定。

 

　　如果我遇到上述問題卻不敢決定，我們就不可能使用云技術。再比如因為商業需求得到了滿足我們從風險角度去分析，這就是我們需要做的商業決定。