歐盟網絡與信息服務機構（ENISA）上月公布了一份就公共機構如何開展云服務政府采購的深度指導意見。

這一稱為《政府云采購安全框架》的指導意見對政府機構采購云服務時所面對的4個階段、9個安全活動以及14個步驟進行了較為詳細的闡述。

該指導意見認為，政府機構與公共組織在確保云采購安全性方面要經歷4個階段，也可以稱為4個生命周期。這4個階段分別是：計劃階段、實施階段、檢查階段和驗收階段。

首先是計劃階段。這個階段對于政府公共機構來說側重點是制定并實施與云采購相關的安全控制政策，以實現云采購安全性的目的。

該階段，政府公共機構在安全活動方面要做好三項工作。這三項工作分別是：風險預測、建立安全目標的結構框架以及滿足云采購的安全與隱私需求。在風險預測環節，英國政府主要通過保密、絕密、特密等多個等級的劃分確定云采購所遇到的不同風險。

其次是實施階段。該階段主要包括政策實施與操作控制。例如，在云采購的執行階段，政府公共機構就要對云采購的安全性進行有效控制。

該階段，政府公共機構應把全部精力放在安全控制與實施、部署以及認證上來。在這方面，西班牙就把政府機構的自我評估放在優先部署的位置上，并以此為基礎，對云采購的安全性進行論證。

再其次是檢查階段。這一階段的重點工作是審查與評估整個云采購系統的運行效果。政府機構主要從效率與效果兩個方面對該目標進行評估。為確保控制環節按預期目標完成，政府機構要在該階段對云采購系統的安全性進行反復測試。

而檢查階段對于政府機構來說，要做好的事情無非是兩件。第一件是做好監控工作，這主要是對云采購的技術安全性而言；第二件是做好審計工作，這主要是對政府機構采購的財務安全性而言。

最后是驗收階段。這一階段的工作重點主要放在查遺補漏上面。政府機構要根據檢查階段所進行的工作，對系統安全性是否達到預期目標進行驗收。如果系統沒有達到預期目標，政府機構就有必要對安全性所暴露出的缺陷與漏洞進行及時的修補，以確保云采購的順利完成。

在這一階段，政府機構應做好查遺補漏發現問題的整改工作與云采購的退出管理工作。這主要涉及兩方面的內容，除了根據云采購安全框架對漏洞進行及時修補外，政府機構還要對合同終止與數據的刪除與管理工作進行有效的監管。

ENISA在該指導意見中稱，盡管歐盟方面成功地創建了云計算服務的交付模式，但許多公共機構并沒有對安全相關的組織風險進行評估。該指導意見建議歐洲各國政府建立起一個針對云計算在采購活動中安全性的戰略性計劃。此外，該指導意見還呼吁歐洲各國政府與歐盟對“歐洲政府云”概念的推廣工作進行調查，并以此為契機，讓歐洲各國政府能夠在國家層面對于虛擬空間政府采購安全性進行立法，從而確保各國云采購工作的順利實施。