這一稱為《政府云采購安全框架》的指導(dǎo)意見對政府機(jī)構(gòu)采購云服務(wù)時所面對的4個階段、9個安全活動以及14個步驟進(jìn)行了較為詳細(xì)的闡述。

 

　　該指導(dǎo)意見認(rèn)為，政府機(jī)構(gòu)與公共組織在確保云采購安全性方面要經(jīng)歷4個階段，也可以稱為4個生命周期。這4個階段分別是：計劃階段、實施階段、檢查階段和驗收階段。

 

　　首先是計劃階段。這個階段對于政府公共機(jī)構(gòu)來說側(cè)重點是制定并實施與云采購相關(guān)的安全控制政策，以實現(xiàn)云采購安全性的目的。

 

　　該階段，政府公共機(jī)構(gòu)在安全活動方面要做好三項工作。這三項工作分別是：風(fēng)險預(yù)測、建立安全目標(biāo)的結(jié)構(gòu)框架以及滿足云采購的安全與隱私需求。在風(fēng)險預(yù)測環(huán)節(jié)，英國政府主要通過保密、絕密、特密等多個等級的劃分確定云采購所遇到的不同風(fēng)險。

 

　　其次是實施階段。該階段主要包括政策實施與操作控制。例如，在云采購的執(zhí)行階段，政府公共機(jī)構(gòu)就要對云采購的安全性進(jìn)行有效控制。

 

　　該階段，政府公共機(jī)構(gòu)應(yīng)把全部精力放在安全控制與實施、部署以及認(rèn)證上來。在這方面，西班牙就把政府機(jī)構(gòu)的自我評估放在優(yōu)先部署的位置上，并以此為基礎(chǔ)，對云采購的安全性進(jìn)行論證。

 

　　再其次是檢查階段。這一階段的重點工作是審查與評估整個云采購系統(tǒng)的運(yùn)行效果。政府機(jī)構(gòu)主要從效率與效果兩個方面對該目標(biāo)進(jìn)行評估。為確?？刂骗h(huán)節(jié)按預(yù)期目標(biāo)完成，政府機(jī)構(gòu)要在該階段對云采購系統(tǒng)的安全性進(jìn)行反復(fù)測試。

 

　　而檢查階段對于政府機(jī)構(gòu)來說，要做好的事情無非是兩件。第一件是做好監(jiān)控工作，這主要是對云采購的技術(shù)安全性而言；第二件是做好審計工作，這主要是對政府機(jī)構(gòu)采購的財務(wù)安全性而言。

 

　　最后是驗收階段。這一階段的工作重點主要放在查遺補(bǔ)漏上面。政府機(jī)構(gòu)要根據(jù)檢查階段所進(jìn)行的工作，對系統(tǒng)安全性是否達(dá)到預(yù)期目標(biāo)進(jìn)行驗收。如果系統(tǒng)沒有達(dá)到預(yù)期目標(biāo)，政府機(jī)構(gòu)就有必要對安全性所暴露出的缺陷與漏洞進(jìn)行及時的修補(bǔ)，以確保云采購的順利完成。

 

　　在這一階段，政府機(jī)構(gòu)應(yīng)做好查遺補(bǔ)漏發(fā)現(xiàn)問題的整改工作與云采購的退出管理工作。這主要涉及兩方面的內(nèi)容，除了根據(jù)云采購安全框架對漏洞進(jìn)行及時修補(bǔ)外，政府機(jī)構(gòu)還要對合同終止與數(shù)據(jù)的刪除與管理工作進(jìn)行有效的監(jiān)管。

 

　　ENISA在該指導(dǎo)意見中稱，盡管歐盟方面成功地創(chuàng)建了云計算服務(wù)的交付模式，但許多公共機(jī)構(gòu)并沒有對安全相關(guān)的組織風(fēng)險進(jìn)行評估。該指導(dǎo)意見建議歐洲各國政府建立起一個針對云計算在采購活動中安全性的戰(zhàn)略性計劃。此外，該指導(dǎo)意見還呼吁歐洲各國政府與歐盟對“歐洲政府云”概念的推廣工作進(jìn)行調(diào)查，并以此為契機(jī)，讓歐洲各國政府能夠在國家層面對于虛擬空間政府采購安全性進(jìn)行立法，從而確保各國云采購工作的順利實施。