定义组织云安全责任

除了 共同责任模式之外，重要的是要在组织内部确定云安全的个人责任，并确保每个人都知道要求是什么。仅仅说 "安全人人有责 "是不够的，甚至有点老生常谈。

行政领导小组 必须支持云安全工作。在当今的监管环境中，行政赞助实际上是强制性的。不遵守监管规定对企业造成的潜在财务影响可能与数据泄露本身一样具有破坏性（甚至更严重）。除经济处罚外，许多法规还对企业高管和企业的其他受托人规定了刑事处罚。

高管必须以身作则。如果企业政策要求移动设备上的企业数据必须加密，访问 SaaS 应用程序需要多因素身份验证 (MFA)，那么就不应该为高管 "一次性 "破例。除了以身作则，高管们还需要确保安全和合规性举措获得适当的支持和资源，并始终考虑到战略性业务决策对组织整体安全和合规性态势的影响。

安全和合规性小组 必须定义和执行适当的政策，安全地实现业务。安全和合规性小组要想取得成效，就必须了解业务目标和目的并与之保持一致，而且不能成为生产力和效率的瓶颈。

业务线经理 有责任确保组织的云安全和合规性治理在各自的业务领域内得到理解和遵守。随着业务需求的发展，业务经理应与安全小组建立合作伙伴关系，评估采用新工具的风险与回报。绝不能为了实现短期业务目标或生产率目标而规避安全策略，如只使用经批准的 SaaS 应用程序的要求。相反，安全工具应适应业务需求，并推动所需的用户行为。

与安全和合规性小组合作，还有助于确保各业务线能够利用组织目前与供应商或云提供商的任何关系，以更经济的方式采购服务，并在需要时迅速获得支持，而不是在真空中使用各自为政的云技术和产品。

DevOps 团队 面临着快速交付软件项目和更新、缩短上市时间的持续压力。要满足这些要求，必须在任何项目开始时就确定和理解安全要求，最好还能将其纳入应用程序交付工作流程。这样，开发小组就可以持续向前推进，而不必经常停下来重新设置，以解决安全漏洞和合规性问题。

个人最终用户 有责任在云安全和合规性方面遵守企业管理规定。他们必须了解云中固有的风险，并像保护自己的个人数据一样保护所委托的数据。