（微信搜索”国际云安全联盟“，回复关键词“云安全”下载本报告）

如何推进好云安全管理成为很多组织面临的问题，CSA受VMware委托完成《云安全风险、合规性、配置不当》报告，其中发现云配置不当一直是使用公有云的组织最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。

其中本报告的三大关键发现，即

关键发现 1：知识和专业技能匮乏不断困扰着安全团队

关键发现 2：信息安全及IT运营团队对降低云配置不当风险承担责任

关键发现 3：DevSecOps 方式对安全部门仍然遥不可及，安全部门仍然在努力对齐安全方针及(或)方针落地

GRC是治理、风险和法规合规（Governance，Risk & Compliance，以下简称“GRC”），GRC框架的核心是帮助组织实现信息技术与业务目标的结合，同时管理风险并满足法规遵循要求。实现组织的云安全治理GRC模式，需要组织首先理解云安全中的治理性、合规性、风险管控性。本报告说明云计算的安全风险管理必须由客户和供应商共同管理，共同实现云计算安全的GRC模式，通过治理、合规和风险控制来降低云风险。