定義組織雲安全責任

除了 Shared Responsibility Model之外，在組織內定義個人的雲端安全責任，並確保每個人都知道所要求的事項也很重要。僅說「安全是每個人的責任」是不夠的，甚至有點陳腔濫調。

執行領導小組 必須贊助雲端安全工作。在現今的監管環境中，高階主管贊助實際上是必須的。不遵守監管規定對企業造成的潛在財務影響，可能與資料外洩本身一樣具有破壞性（甚至更糟）。除了經濟懲罰之外，許多法規還會對企業主管及其他企業受託人施以刑事懲罰。

高階主管必須以身作則。如果企業政策要求行動裝置上的企業資料必須加密，而且存取 SaaS 應用程式需要多因素驗證 (MFA)，那麼就不該為主管人員提供「一次性」例外。除了以身作則之外，高階主管還需要確保安全與合規性計畫獲得適當的支援與資源，並經常考慮策略性商業決策對組織整體安全與合規性勢態的影響。

安全與合規性小組 必須定義並執行適當的政策，以安全地實現業務。安全與合規性小組必須瞭解業務目的與目標，並與之保持一致，才能發揮成效，而且不能成為生產力與效率的瓶頸。

業務線管理人員 有責任確保組織的雲安全性與合規性治理在其各自的業務範圍內獲得理解與遵守。隨著業務需求的演進，業務線經理應與安全小組合作，評估採用新工具的風險與回報。為了達成短期的業務目標或生產力目標而規避安全政策，例如只使用認可 SaaS 應用程式的要求，是絕對不能接受的。相反地，安全工具應該適應業務需求，並驅動所需的使用者行為。

與安全和合規性小組合作，也有助於確保個別業務線能夠利用組織目前可能與廠商或雲供應商建立的任何關係，以更經濟的方式採購服務，並在需要時快速取得支援，而不是在真空中運作孤立的雲技術和產品。

DevOps 團隊 持續面臨快速交付軟體專案和更新、縮短上市時間的壓力。為了滿足這些要求，必須在任何專案開始時就定義並瞭解安全需求，而且最好能將安全需求整合到應用程式交付工作流程中。如此一來，開發小組就能持續向前邁進，而無需經常停下來重新設定，以處理安全漏洞和合規性違規問題。

個別終端使用者 有責任遵守雲安全性與合規性方面的企業治理。他們必須瞭解雲端固有的風險，並將受託處理的資料當成自己的個人資料來保護。