《云環(huán)境下的金融服務(wù)現(xiàn)狀》

目錄調(diào)結(jié)果 12日增長云服使用況 12金服務(wù)云化當(dāng)前狀 14零任為融云問增完整性 15加云的據(jù)管能力 16業(yè)連續(xù)對云業(yè)務(wù)關(guān)重要 16滿云端管要求 18數(shù)隱私主權(quán)本地化 19監(jiān)機(jī)構(gòu)云服審計(jì)踐的解 20CSA云制矩建立一的安全法 22通云硬安全塊和密計(jì)算加密鑰理 23技缺口云安領(lǐng)域然存在 24金服務(wù)云領(lǐng)的機(jī)遇 26與技術(shù)和CSP功保持步 26為融服行業(yè)供充保障云安全 28人：保相關(guān)識（如特平臺訓(xùn)、培訓(xùn)） 28流：映到FSI框，驗(yàn)到STAR 29技：云全提商借安全術(shù)的展實(shí)對金服務(wù)的有支持 29?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有PAGE?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有PAGE10企和云險(xiǎn)管理 30云境中需要脅情和上文信息 31CSA金服務(wù)劃 32教育 32研究 32行簡報(bào) 33保框架計(jì)劃 33結(jié)論 34摘要（CSP）本報(bào)告的目的是評估行業(yè)現(xiàn)狀，并于與三年前行業(yè)初期CSA類似的調(diào)查結(jié)果進(jìn)行比對，來證實(shí)金融服務(wù)業(yè)領(lǐng)導(dǎo)者正在進(jìn)一步利用云服務(wù)來發(fā)現(xiàn)的當(dāng)前問題和新的機(jī)遇。在與本報(bào)告相關(guān)的訪談中，金融科技公司的首席信息安全官（CISO）和云架構(gòu)師表示，利用可擴(kuò)展性和快速推向市場的能力，將創(chuàng)新引入市場比以往的做法更劃算。此外，銀行業(yè)專業(yè)人員表示，受新冠疫情的影響，利用云服務(wù)實(shí)現(xiàn)遠(yuǎn)程辦公或快速的動(dòng)態(tài)更新、部署新的軟件服務(wù)的主要原因是其能夠提供符合法規(guī)的一致部署協(xié)調(diào)的安全策略。本報(bào)告中的監(jiān)管是最具影響力的因素之一。盡管將越來越多的云計(jì)算被用于托管受管控?cái)?shù)據(jù)，但對于云服務(wù)提供商如何理解和確保其CSP本報(bào)告中除了監(jiān)管之外的主題還包含數(shù)據(jù)管理的重要本報(bào)告中最明顯的一點(diǎn)是云服務(wù)正在不斷深入金融服務(wù)的各個(gè)方面并有望被長時(shí)間使用。云服務(wù)是否被采用已不在是問題，而更多問題是“如何”使用。如何采取云原生安全策略，如何應(yīng)用零信任方法，如何指導(dǎo)員工、監(jiān)管機(jī)構(gòu)和云合作伙伴等所有相關(guān)合作方。本報(bào)告中與CSA共享的信息有助于明確未來的研究內(nèi)容、標(biāo)準(zhǔn)要求、培訓(xùn)和指導(dǎo)等該社區(qū)可能感興趣的內(nèi)容。在報(bào)告的最后，我們將分享一些建議，以供我們的金融服務(wù)業(yè)領(lǐng)導(dǎo)委員會考慮。調(diào)查方法2020CSA同時(shí)，還包括了其他一些問題，以便更好地了解對云控制矩陣和STAR計(jì)劃的現(xiàn)狀，以及由金融服務(wù)業(yè)領(lǐng)導(dǎo)工作組、CSA分析師和其他行業(yè)專家的問題。此外，我們還對首席信息安全官、首席風(fēng)險(xiǎn)官、金融服務(wù)內(nèi)部云架構(gòu)和數(shù)據(jù)治理的其他負(fù)責(zé)人進(jìn)行了多次采訪。調(diào)查結(jié)果日益增長的云服務(wù)使用情況98%的受訪者202091%目前，業(yè)界對于在業(yè)務(wù)關(guān)鍵中使用云計(jì)算工作負(fù)載的把握已有顯著增加。2020年的調(diào)查結(jié)果顯示，當(dāng)被問及在生產(chǎn)中的“關(guān)鍵業(yè)務(wù)”工作66%提供商表示沒有關(guān)鍵業(yè)務(wù)2在2023年的調(diào)查結(jié)果中有了顯著下降(43%)，擁有高占比關(guān)鍵業(yè)務(wù)工作負(fù)載的公司數(shù)量幾乎翻了一倍，從17%增加到32%。我們之前的調(diào)查相比，在公共云中使用受監(jiān)管的工作負(fù)載的情況增加了，84%的受訪者表示他們的一些受監(jiān)管數(shù)據(jù)存儲在公共云中，前期調(diào)查比例為73%。同時(shí)，許多金融服務(wù)機(jī)構(gòu)采取了私有云和公共云混用的方式，并繼續(xù)進(jìn)行內(nèi)部部署操作。然而，也有公司認(rèn)識到許多服務(wù)提供商已經(jīng)將軟件服務(wù)遷移到云上，這也影響了云的更廣泛使用。盡管如此，僅有28%的受訪者表示他們的大部分（50%202024%么阻礙公司進(jìn)一步采用金融服務(wù)多云化是當(dāng)前現(xiàn)狀依賴單一的云服務(wù)提供商，還是同時(shí)注冊使用多家云服務(wù)，是困擾企業(yè)的一個(gè)普遍問題。對企業(yè)多云使用的目的表明，許多企業(yè)已經(jīng)認(rèn)識到云提供商多樣化的好處，例如可以降低供應(yīng)商鎖定的風(fēng)險(xiǎn)，確保云環(huán)境更具有靈活性和彈性。通過使用多家云服務(wù)，企業(yè)還可以利用每個(gè)供應(yīng)商的獨(dú)特功能和最佳功能，避免被某一單一供應(yīng)商綁定，從而優(yōu)化其云戰(zhàn)略，最大限度地提高投資價(jià)值。調(diào)查顯示，57%目前使用多家云服務(wù)來IaaS/PaaS需求盡管政府監(jiān)管機(jī)構(gòu)要求IaaS/PaaS隨著跨云堆棧的第三方管理對于多云部署變得越來與上一份報(bào)告中的可見性不可見的受訪者數(shù)量意外IaaS和PaaS對SaaS和PaaSIaaS者未披露。這為主要的IaaS這種可見性的缺乏可能導(dǎo)致未知的安全和合規(guī)風(fēng)險(xiǎn)，例如無保障、無法證明行規(guī)符合狀態(tài)等。企業(yè)應(yīng)該考慮實(shí)施健全的SaaS管理策略，以獲得更好的可見性和對云環(huán)境的控制。零信任為金融云訪問增加完整性零信任方法要求對敏感數(shù)據(jù)和資產(chǎn)的訪問進(jìn)行持續(xù)驗(yàn)證，同時(shí)最大限度地降低信息泄漏的影響。在云環(huán)境中，應(yīng)定期測試所有第三方訪問的繼承安全控制，以驗(yàn)證權(quán)限是否仍然相關(guān)。這種方法有可能實(shí)現(xiàn)保護(hù)金融資產(chǎn)的業(yè)務(wù)和技術(shù)目標(biāo)，同時(shí)證明符合各種行業(yè)規(guī)定。加強(qiáng)云的數(shù)據(jù)管理能力對于金融服務(wù)業(yè)來說，數(shù)據(jù)的機(jī)密性以及了解數(shù)據(jù)的流向和路由方式至關(guān)重要。數(shù)據(jù)在存儲、傳輸和使用過程中都必須受到保護(hù)，以便確認(rèn)公司貨幣會計(jì)的合法性，并保護(hù)在該企業(yè)托管資金的所有消費(fèi)者。此外，還需要數(shù)據(jù)的可追溯性和清晰的審計(jì)跟蹤，隨時(shí)了解數(shù)據(jù)的移動(dòng)和保護(hù)情況。幾位受訪者表示，在云端記錄財(cái)務(wù)數(shù)據(jù)的可擴(kuò)展性優(yōu)于許多本地部署方法，這為向云端遷移提供了保障，但必須保持?jǐn)?shù)據(jù)可靠性和一致性。然而，受訪者對數(shù)據(jù)暴露表示擔(dān)憂，這也導(dǎo)致對敏感數(shù)據(jù)遷移至公有云保持謹(jǐn)慎態(tài)度。通過使用零信任成熟度模型（例如CISA零信任成熟度模型v2）來衡量云端的數(shù)據(jù)管理安全性，同時(shí)應(yīng)用共享安全責(zé)任模型（SSRM）和專門針對云的控制措施（例如CSA云控制矩陣（CCM）幫助建立與數(shù)據(jù)外泄、機(jī)密性和配置錯(cuò)誤相關(guān)的透明性要求。業(yè)務(wù)連續(xù)性對云端業(yè)務(wù)至關(guān)重要（EU-（NIS2）2022/2555審計(jì)員和檢查員一直在問類似于"如果云服務(wù)提供商完全癱瘓?jiān)趺崔k？”這樣的問題。這凸顯2020與首席信息安全官們探討后發(fā)現(xiàn)（CISO）云端數(shù)據(jù)遷入和遷出成本存在不均衡性。將數(shù)據(jù)遷出的成本遠(yuǎn)遠(yuǎn)超過向公有云環(huán)境遷移數(shù)據(jù)的成本。分布式拒絕服務(wù)（DDoS）和勒索軟件等攻擊的增加進(jìn)一步加劇了對可用性的擔(dān)憂，尤其是在金融服務(wù)業(yè)。根據(jù)Cloudflare的數(shù)據(jù)，在2022年6月的DDoS攻擊中，金融服務(wù)占45%?！禫erizon數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR）連續(xù)將金融服務(wù)列為受數(shù)據(jù)泄露影響最嚴(yán)重的CSADDoSDDoS因此它們在最新的CSA11報(bào)告此類攻擊會嚴(yán)重?cái)_亂運(yùn)營并導(dǎo)致聲譽(yù)受損，因此金融服務(wù)機(jī)構(gòu)必須制定有效的業(yè)務(wù)連續(xù)性計(jì)劃（BCP）和事件響應(yīng)計(jì)劃（IRP）戰(zhàn)略。企業(yè)組織需要投入強(qiáng)健的網(wǎng)絡(luò)空間安全措施，定期測試其備份和恢復(fù)計(jì)劃，降低宕機(jī)風(fēng)險(xiǎn)，確保系統(tǒng)始終可用。通過部署主動(dòng)的安全防御措施并進(jìn)行持續(xù)的改進(jìn)，金融服務(wù)業(yè)可以自信地駕馭云環(huán)境，保護(hù)其關(guān)鍵數(shù)據(jù)和運(yùn)營。滿足云端監(jiān)管要求金融服務(wù)機(jī)構(gòu)在其運(yùn)營或開展國際業(yè)務(wù)的所有司法管轄區(qū)都受到當(dāng)?shù)胤珊吐?lián)邦法律的監(jiān)管。近年來，調(diào)查受訪者指出，監(jiān)管機(jī)構(gòu)對第三方（尤其是云服務(wù)提供商）的審查力度加大，要求其提供文件并證明其符合各種標(biāo)準(zhǔn)框架，稱監(jiān)管機(jī)構(gòu)對第三方的關(guān)注能夠影響安全性。受訪者提到，備受矚目的金融數(shù)據(jù)泄露事件和新法規(guī)的出臺是引起這種關(guān)注的催化劑。在合規(guī)數(shù)據(jù)方面仍然使用云計(jì)59%在云服務(wù)中存儲或處理受監(jiān)管25%參與調(diào)查的全球代表來自亞（20%（28%的受訪者）以及美洲地區(qū)（52%在關(guān)注如何解決云環(huán)境中的雖然大多數(shù)金融服務(wù)機(jī)構(gòu)都在廣泛部署云服務(wù)，但只有28%的受訪者表示他們將大部分受監(jiān)管的工作負(fù)載部署在公有云上在訪談中，受訪者認(rèn)為云服務(wù)提供商缺乏透明度、無法向?qū)徲?jì)人員證明合規(guī)性或擔(dān)心沒有足夠的網(wǎng)絡(luò)安全資源進(jìn)行從容的管理是不打算進(jìn)一步在公有云上處理受監(jiān)管數(shù)據(jù)的主要原因。在云中擁有大部分關(guān)鍵業(yè)務(wù)工作負(fù)載（50%或以上）的企業(yè)數(shù)量在短短三年內(nèi)幾乎翻了一番。87%的金融組織已將其關(guān)鍵業(yè)務(wù)工作負(fù)載轉(zhuǎn)移到云中。另有15%（從17%增長到32%）的企業(yè)正在將一半以上的關(guān)鍵業(yè)務(wù)工作負(fù)載轉(zhuǎn)移到云中。12個(gè)月72%的企業(yè)會將受監(jiān)管（202063%數(shù)據(jù)隱私、主權(quán)和本地化近年來，世界各國政府已經(jīng)建立或考慮了有關(guān)數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化的立法，這些立法可能會限制金融服務(wù)實(shí)體可能擁有的個(gè)人金融或其他個(gè)人數(shù)據(jù)的傳輸。這些法規(guī)可能會影響金融服務(wù)機(jī)構(gòu)及其客戶。此外，這可能會影響在這些國家托管或開展業(yè)務(wù)的云服務(wù)提供商。某些數(shù)據(jù)本地化法律要求首先將收集的個(gè)人信息存儲在國內(nèi)，然后再進(jìn)行跨境傳輸。而其他法規(guī)可能更為嚴(yán)格，防止外國系統(tǒng)存儲與該國公民相關(guān)的任何數(shù)據(jù)。在訪談中，首席信息安全官們建議內(nèi)部法律顧問定期監(jiān)控這些特定的變化，風(fēng)險(xiǎn)專業(yè)人員則要制定計(jì)劃，對可能需要進(jìn)行的調(diào)整保持警惕，以證明遵守了相關(guān)規(guī)定。本報(bào)告的一些受訪者表示，法律復(fù)雜程度越來越高，金融服務(wù)機(jī)構(gòu)和云服務(wù)提供商越來越難搞明白，致使他們對進(jìn)一步采用云服務(wù)猶豫不決。其中一些普遍引用的例子包括歐盟的《歐洲網(wǎng)絡(luò)安全法案》（EU-CSA）和《通用數(shù)據(jù)保護(hù)條例》（GDPR）。2020公有云服務(wù)中所占的比是在報(bào)告中受監(jiān)管工作11-50%之間的受訪者比例從15%增加到0%的受訪者比例從27%下降到16%。受訪者對于識別的隱私和監(jiān)管阻礙的所有類別沒有明顯的區(qū)分。所有"阻礙因素"都被認(rèn)為在防止部署更敏感的工作負(fù)載方面具有中度或高度挑戰(zhàn)性，具體包括：監(jiān)管機(jī)構(gòu)對云服務(wù)審計(jì)實(shí)踐的理解這與大多數(shù)受訪者提到的需要向多個(gè)云服務(wù)提供商提交多次審計(jì)請求的情況相一致。CSA云控制矩陣建立統(tǒng)一的云安全方法CSA(CCM)(CAIQ)。和CAIQCCM65%CCMCAIQ33%的企業(yè)將云服務(wù)風(fēng)險(xiǎn)評估完全納入了公司整體風(fēng)險(xiǎn)評估方法。身份與訪問管理（IAM）和零信任是新興的研究領(lǐng)最常引用的框架有NIST網(wǎng)絡(luò)安全框架(NISTCSF)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)、ISO27001(GDPR)(MAS)(FFIEC)和SOC2CSASTAR被認(rèn)為是更透明、更一致地評估云服務(wù)提供商的一個(gè)機(jī)會。有受訪者指出使用STAR被視為一種潛在的做法，可以納入采購活動(dòng)中因?yàn)樗砻鞯谌焦?yīng)商進(jìn)行了適當(dāng)盡職調(diào)查。大多數(shù)金融服務(wù)機(jī)構(gòu)(80%的受訪者)CCM和STAR通過云硬件安全模塊和機(jī)密計(jì)算加強(qiáng)密鑰管理密鑰管理是維護(hù)數(shù)據(jù)安全性和完整性的關(guān)鍵環(huán)節(jié)，尤其是在金融服務(wù)行業(yè)。受監(jiān)管的關(guān)鍵數(shù)據(jù)集有嚴(yán)格的密鑰管理政策，以確保金融數(shù)據(jù)的機(jī)密性，并高度保證所使用的加密技術(shù)值得信賴。最新調(diào)查顯示，僅有2%的金融服務(wù)機(jī)構(gòu)的內(nèi)部密鑰管理政策是未定義或未公開的，低于2020年的12%。此外，所有關(guān)鍵數(shù)據(jù)都制定了密鑰管理政策而這在2020年并非如此。針對關(guān)鍵數(shù)據(jù)、監(jiān)管數(shù)據(jù)、公開數(shù)據(jù)和非敏感數(shù)據(jù)的密鑰管理政策的建立明顯增加。在密鑰管理的政策立場方面，52%的企業(yè)將關(guān)鍵信息置于基于云的硬件安全模塊(HSM)，主密鑰存儲在HSM中，且不允許云服務(wù)提供商訪問。這一比例比2020年增加了25%。另一方面，38%的企業(yè)使用本地解決方案，企業(yè)必須持有密鑰。這比2020年的跟蹤數(shù)據(jù)下降了5%。還有其他數(shù)據(jù)表明，還有其他的密鑰管理或加密服務(wù)被用來保護(hù)受監(jiān)管和不受監(jiān)管的工作負(fù)載。HSM即服務(wù)、安全隔離和保密計(jì)算都被提及用于保護(hù)這兩種工作負(fù)載。除了數(shù)據(jù)加密的技術(shù)解決方案外，受訪者還呼吁監(jiān)管機(jī)構(gòu)、企業(yè)和云服務(wù)提供商在云控制矩陣領(lǐng)域（特別是密碼學(xué)、加密和密鑰管理以及數(shù)據(jù)安全和隱私生命周期管理）和HSM即服務(wù)方面開展聚焦金融行業(yè)的研究、培訓(xùn)和教育。這些統(tǒng)計(jì)數(shù)據(jù)強(qiáng)調(diào)了密鑰管理和數(shù)據(jù)加密解決方案日益重要，以及采用云端服務(wù)強(qiáng)化金融服務(wù)行業(yè)數(shù)據(jù)安全性和合規(guī)性的轉(zhuǎn)變。技能缺口在云安全領(lǐng)域仍然存在金融服務(wù)機(jī)構(gòu)仍然面臨的一個(gè)普遍挑戰(zhàn)是云安管理和保護(hù)云環(huán)境專業(yè)竭力培訓(xùn)和聘用云安全50%的企業(yè)選擇聘請第三方顧問，57%的企業(yè)正在聘用更多的內(nèi)部云安全專業(yè)人員，52%的企業(yè)正在依靠自動(dòng)化來解決這些問題。與2020年相比，如今有更多的企業(yè)直接引進(jìn)云安全專業(yè)人員（從40%增長到57%），并保持部分內(nèi)部現(xiàn)有人員的發(fā)展（78%降到70%）。自動(dòng)化技術(shù)的應(yīng)用有所增加（從33%增長到52%），這表明部署、整合和實(shí)施自動(dòng)化工具的成熟度和可用性不斷提高。2023年調(diào)查探討了云環(huán)境中的云安全和合規(guī)性方面的專業(yè)知識水平。少數(shù)組織顯示其團(tuán)隊(duì)的知識水平較低（16%的云安全，13%的云合規(guī)稍多的組織顯示出較高的專業(yè)知識水平（23%的云安全，29%的云合規(guī)）。

68%的企業(yè)提供針對云的專門培訓(xùn)，68%9%32%在提供的云安全培訓(xùn)中，針對云安全提供商的培訓(xùn)最為常見（54%），其次是CCSP（41%）、CCSK（27%）、其他（20%）和CCAK（17%）。金融服務(wù)和云領(lǐng)域的機(jī)遇與新技術(shù)和CSP功能保持同步金融服務(wù)業(yè)在采用新技術(shù)創(chuàng)新和增強(qiáng)業(yè)務(wù)應(yīng)用時(shí)面臨著諸多挑戰(zhàn)。云技術(shù)向物聯(lián)網(wǎng)（IoT）和邊緣計(jì)算的擴(kuò)展為開展商業(yè)活動(dòng)提供了更多的連接性、數(shù)據(jù)收集和互動(dòng)，但也增加了安全性和隱私保護(hù)的復(fù)雜性，需要強(qiáng)有力的保障措施。區(qū)塊鏈和保密計(jì)算技術(shù)滿足了保護(hù)敏感數(shù)據(jù)、確保交易安全和遵守法規(guī)的需求，但在可擴(kuò)展性和集成性方面存在挑戰(zhàn)。人工智能和大型語言模型（如量子計(jì)算在帶來技術(shù)優(yōu)勢的同時(shí)，也增加了應(yīng)對未來計(jì)算威脅的緊迫性。如前所述，目前依靠加密技術(shù)來保密金融信息的做法可能會立即受到挑戰(zhàn)，并要求以數(shù)字方式提供金融服務(wù)的方式發(fā)生巨大變化。金融服務(wù)機(jī)構(gòu)必須審慎應(yīng)對這些挑戰(zhàn)，在創(chuàng)新和風(fēng)險(xiǎn)管理之間取得平衡，以充分發(fā)揮這些技術(shù)的潛力，同時(shí)保障客戶信任和數(shù)據(jù)安全。其他高級安全技術(shù)可能涉及在金融服務(wù)行業(yè)中進(jìn)一步使用DevSecOps。DevSecOps方法的使用實(shí)際上2020云安全聯(lián)盟進(jìn)一步分析認(rèn)為，將復(fù)雜的DevOps成和自動(dòng)化相結(jié)合的能力已經(jīng)影響了一些組織對DevSecOps小的安全性和DevOps其他傳統(tǒng)IT（如發(fā)布和變更管理）受到云服務(wù)利用中固有的現(xiàn)代技術(shù)和第三方方面的重大挑戰(zhàn)。特別是云共享安全責(zé)任模型的復(fù)雜性。CSP功能和技術(shù)的發(fā)展速度通常比金融服務(wù)客戶采用的速度更快。仍然需要改進(jìn)可能影響CSP客戶應(yīng)用程序、環(huán)境和操作的更改通知和管理。為金融服務(wù)行業(yè)提供充分保障的云安全人員：保持相關(guān)知識（例如特定平臺培訓(xùn)、微培訓(xùn)）培訓(xùn)人們已經(jīng)認(rèn)識到行業(yè)認(rèn)證培訓(xùn)的重要性，特別是CCSPCSPFSIFSI只有9%的受訪者認(rèn)為他們擁有高度強(qiáng)健的云安全計(jì)劃：65%65%65%59%]2%14%企業(yè)和云風(fēng)險(xiǎn)管理許多金融服務(wù)企業(yè)都有成熟的企業(yè)風(fēng)險(xiǎn)管理（ERM）計(jì)劃，可以解決企業(yè)面臨的許多不同類型的風(fēng)險(xiǎn)，包括金融市場、監(jiān)管和信息安全風(fēng)險(xiǎn)。企業(yè)風(fēng)險(xiǎn)管理計(jì)劃通常包括企業(yè)風(fēng)險(xiǎn)評估方法和風(fēng)險(xiǎn)接受程序。第三方和供應(yīng)鏈風(fēng)險(xiǎn)通常包含在這些計(jì)劃和程序中。盡管云服務(wù)越來越多地用于正式的云策略仍在開發(fā)中。2020年的調(diào)查結(jié)果反映了當(dāng)ERM在過去兩年中，金融服務(wù)的數(shù)字化和云的采用已經(jīng)超過了云策略在ERM大規(guī)模的數(shù)字化供應(yīng)鏈以及混合云IT90%云風(fēng)險(xiǎn)評估整合到整體公司風(fēng)險(xiǎn)評估方法中，部分和完全整合的平衡金融服務(wù)對云的依賴為傳統(tǒng)方法增加了重要的、高度動(dòng)態(tài)的因素，這往往需要專門針對云的風(fēng)險(xiǎn)評估和管理方法。云環(huán)境中仍需要威脅情報(bào)和上下文信息正如某銀行的一位首席信息官在接受采訪時(shí)所說：“有過這48（雖然一些問題可能是對嚴(yán)重的零日威脅的必要應(yīng)對，但在這個(gè)例子中，本可以與我們更好地協(xié)調(diào)，以便我們的團(tuán)隊(duì)為變和MITRE受訪者提出的建議包括推進(jìn)專門針對行業(yè)威脅的全球安全數(shù)據(jù)庫，以及云漏洞如何被利用的用例。FSIDSS提及的其他對策還有某種漏洞標(biāo)記形式，如果識別到在特定行業(yè)（比如金融服務(wù)行業(yè)）中普遍部署，將會升級其嚴(yán)重等級。CSA金融服務(wù)計(jì)劃通過與行業(yè)利益相關(guān)者的交流，云安全聯(lián)盟確定了未來可能考慮的貢獻(xiàn)。為了保持對行業(yè)變化的相關(guān)觀點(diǎn)，云安全聯(lián)盟將邀請金融服務(wù)代表，云服務(wù)提供商和其他相關(guān)企業(yè)參加戰(zhàn)略領(lǐng)導(dǎo)委員會，該委員會將召開會議，以確定教育、研究、分析簡報(bào)、保證框架和計(jì)劃的優(yōu)先事項(xiàng)。教育教育將包括意識宣傳活動(dòng)，開發(fā)和推廣與金融服務(wù)行業(yè)利益相關(guān)者相關(guān)的培訓(xùn)。意識宣傳活動(dòng)的例子包括目前正在制定的HSM即服務(wù)指南的相關(guān)性、與金融服務(wù)部門內(nèi)使用的框架的映射以及如何完成共享安全責(zé)任模型（SSRM）。培訓(xùn)從了解可應(yīng)用于金融資產(chǎn)的云基礎(chǔ)知識開始。但（研究SaaS在云安全聯(lián)盟可以支持的潛在領(lǐng)域中，受訪者要求在與云HSM行業(yè)簡報(bào)（今后，云安全聯(lián)盟將開始一系列以行業(yè)為中心的定期簡報(bào)會，讓金融服務(wù)行業(yè)的同行們都能聽到向?qū)ｎ}專家提出的問題，以便他們自己學(xué)習(xí)，并對貼合他們工作的問題做進(jìn)一步討論。參會的主題專家們來自特定的云服務(wù)提供商、監(jiān)管機(jī)構(gòu)或其他相關(guān)知識領(lǐng)域，分享在云計(jì)算中滿足金融服務(wù)事務(wù)的最新方法。保障框架和計(jì)劃云