[新聞] 「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」已正式發布

CSA已正式發布了「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」，除了有部份內容經過改寫，特別強調「security、stability、privacy」這三點之外，新版大致上的架構仍是維持不變的，主要有更新的地方，包括新增加一個 Domain 14: Security as a Service，在Domain 3 和 Domain 5 的名稱也作了調整如下：

- Domain 3: Legal Issues: Contracts and Electronic Discovery
- Domain 5: Information Management and Data Security

目前，CCSK的考試仍維持在v2.1版的內容，所以如果您已準備好的話，進行考試還是沒問題的。至於未來考試會不會也配合更新，我想這是可預期的，若有任何更新的資訊，我會再提供給大家囉~

相關資訊請參閱CSA網站：
https://cloudsecurityalliance.org/research/initiatives/security-guidance/

[觀點] 解析資訊安全控制措施(五) - 通訊與作業的安全管理(中)

之前已針對ISO 27001中有關通訊與作業安全的控制措施，談到了監控資訊作業的相關活動和第三方的服務管理，本篇將繼續說明在此控制項目中的其他要求，以及在實務方面可以應用的管控作法。
註：上篇及下篇請參考之前發佈的內容。

過去，只要談到資訊安全防護，大多數人員直接聯想到的就是網路安全，認為需要在組織中部署防火牆和入侵偵測系統等產品，以防止來自網路的入侵和攻擊。雖然，這樣的認知是有點偏於狹隘的，但也突顯出網路安全其實就是組織在資安方面最為關注的地方，也願意將可運用的資源投入在網路安全上。

不過，網路安全除了導入技術面的資安產品之外，最重要的還是需要配合管理面的要求來進行，原因是技術性的作法，通常是為了要在問題發生時進行損害防阻，避免資訊資產受到損失，而管理面則是為了要防範問題於未然，事先透過作業流程的監控與設計，來降低其中潛藏的資安風險，因此，兩者在強化資安防護方面，肯定是相輔相成且缺一不可的。