在最近有关云计算法规服从复杂性的文章中，我讨论了云计算对于企业组织的变化与挑战。很显然，在制定云策略的同时，你需要考虑大量重要的法规服从问题。

　　结合对自身工作的观察并与IT方面的律师进行探讨，我认为在制定合乎法规的云策略之前，你有必要把以下问题弄清楚。

　　1.你的云计算供应商如何处理特殊行业需求，例如医疗、金融、零售业等等？你的云计算供应商是否雇佣了你所在行业的法律专家？

　　2.你的云供应商是否横跨多个司法管辖区？你系统所在的司法管辖区是否会影响到某些法律要求（是否跨越多个州界或国界）？

　　3.信息分类、保留和销毁是怎样实施的？云供应商在数据泄漏上有很大隐患——甚至是你的数据被“销毁”之后。

　　4.你的隐私策略是什么？你如实地回答自己的隐私策略是否可以适应云供应商的安全/隐私问题？

　　5.谁拥有你的数据？云计算供应商在操作你的数据上有多大权利？在需要数据时，你访问自身数据的权利又如何？如果这些方面没有在事前将清楚，你可能会自讨苦吃——另外在开发云策略的同时，让你的法律顾问也参与其中。

　　6.数据是混在一起的吗（与其他用户的数据在相同Web应用背后的同一个数据库上）？数据混放将导致严重的安全泄漏：它是一个云计算的安全漏洞，不光致别人的业务数据于危险之中，你的数据也是同样如此。

　　7.可靠性评估如何处理？你是可以自己随心扫描，还是必须依靠其他人的审计报告，他人的报告无疑会忽略很多应用级别的问题？至少，你应该要求审查一下他们最近的安全评估报告。

　　8.你的服务等级协议（SLA）又如何？你（或是你的云计算供应商）如何衡量他们的性能？正常运行时间以及业务连续性是你想要的全部吗？补丁、系统监控和其他的又怎么样呢？

　　9.你真的了解你的云计算供应商的恢复能力吗？如果这里有泄漏，结果又会怎样呢？每个人都指望别人承担责任？审查供应商的独立安全评估报告，以及他们的灾难恢复和事故责任方案是至关重要的。

　　10.你是否问过你的律师，自己的云策略会对自己的合同、政策、服务等级协议（SLAs）等产生怎样的影响？他们的答案是否只是通过合同和法律简单处理了这些问题？记住：纸上的不一定反映出实际情况，更不能防止安全泄漏。

　　11.在技术和法律上，你还有其他的保护措施吗？你能因为X、Y或Z的性能问题或安全问题而取消合同吗？

　　12.如果你的云计算供应商被其他公司收购了，结果又如何呢？

　　法律和律师本身不会在云计算上保护你的数据。这就要看你自己了，认真对待问题，确保合理的措施就位并正确地维护它们。在开发你的云策略时，不要害怕提难题。否则，你的云计算供应商会只顾自身发展而忽略了你的商业利益。