最近，在《云计算：通过询问服务提供商了解风险和问题（Cloud Computing: Understanding the Risks and Questions to Ask Your Service Provider）》一文中读到这样一句话：在决定哪一个云技术和服务是最适合企业的之前，仔细定义IT系统和程序的风险分析极为重要。文中提到这种分析主要有以下步骤：ID管理和访问控制、管理控制请求、数据处理流程和人事管理。

　　尽管云计算很大程度上改变了数据处理的流程，网络和基于云的安全分析之间的代沟并不像一些专家所描述的那样，提供IT安全技术，企业就可以像常规的数据存储系统那样处理云。我们必须对云外包合同进行评估。哪些精确功能必须要外包公司完成？供应商能提供什么样的性能和安全标准？我们总结了一些问题，帮助准备同云提供商进行第一次合同签订的IT部门进行评估。

　　数据丢失已经成为事实，大部分的数据丢失事件都归因于第三方提供商。我们需要知道服务提供商，也就是系统管理员能不能看到我们的数据。大多数管理员具有这个权限。因此，提供商是否在某些地方要避免对我们的数据进行拷贝、电子邮件等等？那么如果数据丢失了会发生什么呢？我们需要向云服务提供商资讯其数据保护策略以及其审核流程。我们还需要对这些内容进行详细的核实。

　　数据主机托管是如何处理？也就是第三方企业如何分离系统和信息？假如我们的竞争对手也使用这个服务，那对于我们的数据是不是手到擒来？在云端，我们可不知道我们的数据是否被拷贝了。另外，我们还要知道第三方拥有我们多少数据副本？是否使用这些副本进行增量备份，能否从过去的部分备份的预定点重构我们的数据图？

　　此外，我们还要关心如果我们准备将数据迁移到另一个云服务提供者上，该如何进行？当然，这个问题很少有企业会问，但一般问的时候就太迟了。云服务商之间的数据迁移是一种相对比较新的功能，只有少数服务提供商将其作为必需的服务，恐怕很多原因也是怕客户流失。

　　最后，我们还要反思一下，是否对于服务水平协议（SLA）过度依赖？SLA是我们和云服务提供商之间的合约。尽管金额通常是大多数SLA的核心，但是我们需要知道服务提供商如果做不到这个协议呢？因此在补救流程上达成一致很重要。赔偿只是这个等式中的一部分。要不然到时就是赔偿你得到了，但是停业了，这恐怕就没那么简单了。