在本文中，專家R.H. White將介紹如何制定一個為云計算提供信息安全的業務戰略。 為云計算實施設計一個端到端的安全措施可從制定一個安全的戰略計劃入手。這個戰略計劃的結果就是形成在財務上和法務上保護組織所需的行政和管理控制措施。

保護云計算基礎設施可從提供治理、政策和／或規則、政策執行以及確保如何保護信息的控制措施入手。設計和交付這樣一個戰略計劃的方法有很多個。在本文中，我們將介紹如何使用一個兩步法來制定這樣一個戰略。首先，我們將回顧一下如何理解一個組織的業務模式，然后就根據業務模式來制定一個云計算安全的戰略計劃。

了解你的業務模式

一個業務模式描述了一家組織如何創建、交付以及捕獲價值以保持競爭力和盈利能力的基本原理。為了制定出最好的保護戰略，了解你的組織的業務模式是非常重要的，因為業務模式定義了業務和保護目標的優先級。

即使你的組織并沒有一個公開發布的業務模式，也會有人能夠根據組織的業務策略進行推斷來得出其業務模式，而組織的業務策略通常每年都會在組織內部共享。所謂業務策略，就是指為企業提供長期目標、目的以及成果的計劃，進而實現組織長期的成功。目標定義了組織的產出，并對其中的主要產出給出了量化指標。目的則是提供了實現組織產出而需經歷的可度量的步驟，它給出了實現目標的最終產品，并確定了客戶的需求。通過綜合前者和現有的組織結構圖與關鍵路徑問題，就能夠建立一個組織的業務模式。

其結果就是一個標識從業務到生產輸出所需輸入的框架。業務模式的輸入包括：關系、價值主張、關鍵活動、關鍵資源、關鍵合作伙伴以及成本結構。其輸出包括：渠道、收益流以及客戶群。圖1顯示了使用關系影射方法根據業務戰略制定業務模式的一個示例。

向業務模式靠齊是實現成功的關鍵因素。對于云計算或其它來說，信息安全并不會驅動業務發展，它會支撐業務發展。無論是主動還是被動的，有意識還是無意識的，我們制定信息安全的戰略、框架和路線圖都是為了支持業務，并最終支持業務的驅動因素。業務驅動因素形成了保護業務模式，而它也是業務模式和業務戰略的輸出。一個業務模式中包含了輸入和輸出的相同總體框架，其間的差異在于其重點是基于系統的保護。

例如，有一家專業從事家庭酒類遞送業務的公司。公司正在開發一個客戶關系管理應用程序，以便于讓客戶能夠與銷售人員就虛擬品酒、酒類排名、酒類搜索、提交貨款以及交付時間表等問題進行交互。從企業的角度來看，他們需要一個安全的應用程序來保護客戶的個人資料數據，并滿足與支付卡行業規定相關的合同協議。但是，目前的網絡設計并不支持支付卡行業的隔離要求，那么就必須更新該網站的使用條款。價值主張支持全面的安全和風險管理計劃，它包括遠景規劃、差距分析、項目管理、威脅建模以及安全措施設計等。

業務價值主張從本質上來說是動態的，而保護計劃業務模式則是相對靜態的。關鍵資源是可控因素（例如，團隊），它提供了價值主張。關鍵合作伙伴是那些在企業內部你希望他們提供業務驅動因素的人。圖2顯示了一個可跨多個行業使用的安全計劃的業務模式。

你的業務模式必須具有與支持業務和客戶相關的明確功能（例如人員、流程以及技術等）。

設計你的戰略

這個戰略是為支持實現組織目標和解決差距問題的一個計劃。這個戰略具體涉及：展示定位、驗證動機、設置活動背景以及描述具體戰術等。它確定了支持組織業務戰略中所需的4W1H，即什么、誰、如何以及為什么。你的戰略應遵循組織的戰略，其生命周期可能更短。如果業務戰略的生命周期為3至4年，那么你的戰略應為2至3年。在最后的一年，應針對更新的組織戰略進行重新評估和重新規劃。它是使用如圖3中所示基于邏輯的價值鏈方法來建立的。

業務驅動因素將推動戰略水平發展。而在縱向上，客戶被影射并與驅動因素相關聯。其結果是與業務一致的，并確保達成業務目標。這是一個充分利用優勢并確定發展機會的工具。

保護云計算可從建立管理控制措施方面入手：業務模式與戰略。一經查實，這些控制措施的目的就是要形成管理控制措施：政策、程序、標準以及指導原則。這些控制措施將形成發展路線圖和選擇與實施技術控制措施的戰術，其中包括：安全控制措施和符合業務戰略。這是一個針對云計算供應商和客戶促進端到端安全性的模式。