第四，注重审查的顶层设计，从“事前审查”到“事后监管”，建立一系列标准化的方法体系与审查程序。

　　美国联邦政府注重对云计算安全管理的顶层设计，以《联邦信息安全管理法案》为法律依据，《联邦信息资源管理》为政策依据，在国家标准《联邦信息系统和组织的安全及隐私控制》（SP800-53）基础上，形成了云计算安全基线要求，并以第三方机构认定、云计算服务审查、云计算服务持续监管三大关键环节为抓手，提供了十余部标准化的模板、程序与指南材料，建立了联邦政府云计算服务安全审查体系。同时，FedRAMP明确要求联邦机构从2014年6月起，必须采购和使用满足安全审查要求的云计算服务。截止目前，FedRAMP共认定了27家从事云计算服务安全评估的第三方机构，并已有11家云计算服务商的12项云计算服务通过了安全审查。

　　尹丽波表示，奥巴马政府通过颁布一揽子战略规划、政策法规、标准指南，建立了云计算服务审查制度与授权机制，使分散、重复、低效的政府云计算服务审批体系有序、统一、高效地运行，值得我国借鉴和参考。

　　首先，不断强化政府和涉及国家安全领域的网络安全管理。从克林顿政府的《国家信息安全保障采购政策》，到小布什政府的《联邦信息安全管理法案》和《联邦机构安全保障和评估产品采购使用指南》，再到奥巴马政府针对联邦云计算服务颁布的《联邦风险及授权管理计划》，美国始终采取做“加法”的思路，开展政府信息系统网络安全审查，有力保障了其要害部门的网络安全。

　　其次，云计算服务审查管理和协调机构的绝对权威性，是各项制度、标准得以顺利执行和实施的根本保障。国防部、国土安全部、总务署作为美国联邦最高安全决策和政府服务保障机构，对所有联邦机构具有很强的影响力、协调力和领导力，有力保证了各项审查法规、政策和标准的全面贯彻执行。

　　再次，云计算服务审查政策、标准完善，是规范云计算服务审查工作程序、提高审查效率的基础。完善的政策法规和标准模板既为联邦云计算服务安全审查提供了制度保障，又强化了云计算服务供应商对审查结果的认可度，有利于维护审查的公信力。同时，按照统一标准，也减少了重复审查，提高了审查结果的利用率。

　　最后，注重云计算服务过程中的持续监测和评估，不断推动云计算服务的安全应用。通过要求云计算服务商定期提交网络安全自我评估报告、风险态势变更报告，以及制定网络安全事件响应计划，并提交第三方机构进行独立安全测评，从而建立了云计算服务监督管理的常态机制，确保了云计算服务在联邦政府的安全推广应用。