國際電信聯(lián)盟（ITU）于2023年正式發(fā)布云計算風(fēng)險管理框架標(biāo)準(zhǔn)：ITU-T Y.3539 Cloud computing – Framework of risk management。該項國際標(biāo)準(zhǔn)由中國信息通信研究院（以下簡稱“中國信通院”）牽頭制定，旨在針對云計算運行過程中面臨出現(xiàn)的服務(wù)不可用、數(shù)據(jù)丟失、數(shù)據(jù)泄露等風(fēng)險后果提出管理方法。

《ITU-T Y.3539 Cloud computing – Framework of risk management》標(biāo)準(zhǔn)規(guī)范了云計算風(fēng)險管理流程，用于指導(dǎo)企業(yè)梳理風(fēng)險管理薄弱點。一是風(fēng)險評估，充分識別云計算環(huán)境中的11個關(guān)鍵點，并對其可能遭受的潛在威脅、脆弱性以及風(fēng)險管理能力進行識別，確定導(dǎo)致潛在損失的誘因，結(jié)合云計算應(yīng)用價值進行風(fēng)險估算；二是風(fēng)險處置，基于云計算風(fēng)險評估結(jié)果，選擇風(fēng)險降低、風(fēng)險保持、風(fēng)險回避或風(fēng)險轉(zhuǎn)移處置手段；三是云計算風(fēng)險溝通和監(jiān)測，云計算安全責(zé)任應(yīng)由云服務(wù)商與云服務(wù)客戶共同承擔(dān)，雙方應(yīng)建立溝通機制，交換和共享風(fēng)險信息，此外需要對云計算環(huán)境中的威脅和脆弱性進行持續(xù)監(jiān)測，以保障云的可持續(xù)運營。

云計算風(fēng)險管理框架

中國信通院云計算與大數(shù)據(jù)研究所在2016年開始探索云安全領(lǐng)域，依托中國通信標(biāo)準(zhǔn)化協(xié)會CCSA TC608、云計算開源產(chǎn)業(yè)聯(lián)盟等組織，凝聚產(chǎn)業(yè)共識，已牽頭編制云安全相關(guān)標(biāo)準(zhǔn)，包括云計算安全責(zé)任共擔(dān)、云服務(wù)用戶數(shù)據(jù)保護、零信任等行業(yè)/團體標(biāo)準(zhǔn)。ITU-T Y.3539國際標(biāo)準(zhǔn)的發(fā)布是云計算領(lǐng)域重要標(biāo)準(zhǔn)化成果，通過國際和國內(nèi)標(biāo)準(zhǔn)協(xié)同聯(lián)動，進一步增強我國在云計算領(lǐng)域標(biāo)準(zhǔn)化上的主動權(quán)。