[新知] 雲端運算關鍵領域安全指南更新為4.0版本

雲端安全聯盟(CSA)日前宣佈，雲端運算關鍵領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing)已正式更新為4.0版本，其中有將近8成的內容進行了改寫，以便更貼近目前雲端安全實務上的需求。

同時，這份指引也整合雲端安全控制矩陣(CCM)和自我評估的問卷(CAIQ)，並且也涵蓋了軟體開發人員和IT維運人員溝通(DevOps)、物聯網(IoT)、行動化(Mobile)和大數據(big data)等熱門議題。

另外，雲端安全知識認證(CCSK)也即將更新為CCSK v4，考試內容有80%來自於新版的雲端運算關鍵領域安全指南4.0版，其他則參考CCM和ENISA的雲端運算風險評鑑報告(Cloud Computing Risk Assessment report)的內容。

新版CCSK的考試費用為395美元，預計將在2017年12月1日開始提供新版的考試。

雲端運算關鍵領域安全指南4.0版仍提供免費下載，更多資訊可參考以下連結:
https://cloudsecurityalliance.org/guidance/#_overview

[專欄] 強化組織的資訊韌性 因應惡意挑戰並克服難關

在資訊時代瞬息萬變的局勢下，組織要如何才能夠永續經營？一旦面臨困難挑戰，發展組織韌性(Organizational Resilience)將會是危機中的逆轉關鍵，所謂的韌性是指組織能夠預測、準備和應對可能突發的營運危機，擁有充份的能力可以因應變化，最後得以持續生存並且繁榮興盛。 

在今年農曆春節結束後開工的第一週，台灣有十家以上的證券業者遭遇了勒索式的網路阻斷服務攻擊，巨大的攻擊流量對於資訊系統的運作造成了重大的影響，同時也考驗了組織面對外來威脅的應變機制和能力。根據BSI英國標準協會過去對於資訊部門主管所做的調查結果指出，有九成以上的受訪者坦言其組織曾經遭遇過來自網路的攻擊，更有五成的受訪者表示因為駭客試圖入侵或是惡意程式的潛伏運作，而使組織蒙受經營上的損失。

[新知] 新版BS 10012:2017標準已正式發佈

新版BS 10012:2017標準已正式在2017年3月31日正式發佈，新版標準主要是因應歐盟在2016年4月14日所通過的資料保護法規GDPR (General Data Protection Regulation )，它預計將在2018年5月25日正式取代在1995年所通過的歐盟個人資料保護指令European Directive (95/46/EC)之要求。


新版BS 10012:2017的主要改變包括了：

• 重新定義個人和敏感資料 
• 使用個人資料進行分析的限制 
• 針對資料隱私官(data privacy officers)的管理要求 
• 擬匿名化資料(Pseudonymous data)的涵蓋 
• 廢止通知和註冊之要求 
• 對處理同意提出更嚴格的要求 
• 當事人存取權利的改變 
• 強化刪除的權利和新的盈利權 
• 安全事故的通知要求 
• 隱私設計和隱私衝擊評估要求 
• 將法律延伸涵蓋資料處理者 
• 排除依據安全港協議將資料傳輸至美國

另外，為了讓組織能更加容易整合已實施的多個管理制度和標準，BS 10012:2017也採用了ISO的High Level Structure，使得它的內容章節能夠和其他的國際標準，像是ISO 9000/14000/22301及 ISO/IEC 27001等趨於一致。

其主要之章節如下:
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement

[專欄] 以ISO/IEC 27018 強化雲端上的個資安全

隨著個人資料保護法的實施和民眾對於個人隱私保護意識的增加，對於日漸普及的雲端服務，一旦包含了民眾的個人資料處理，對於資訊安全要求就顯得更加重要。對雲端服務提供商而言，如何讓雲端服務的客戶和其使用者，能夠信賴雲端服務的安全機制，並且願意使用雲端服務，透過取得國際標準的認證，將是一個最佳的展現方式。

由於科技的進步，傳統的商業模式和服務，時至今日已經逐漸轉型，透過高度資訊化和方便的網路連結，讓各項交易和服務能夠以更即時的方式來運作。目前，應用雲端運算的強大資源，資訊服務也能夠以更有效率且節約成本的方式，傳遞給不分國界的使用者。在使用雲端科技方面，關於服務本身的透明度與資料的安全性，已是受到普遍關注的議題。以公有雲的服務來說，某種程度上就是一種委外服務，就像傳統的金融服務一樣，民眾在考量是否要將貴重物品或金錢存放在某家銀行時，主要考量的要素就是銀行是不是值得讓人信賴。同理，雲端服務客戶在採用雲端服務時，也會關心自己重要且有價值的資訊，是否能夠獲得雲端服務提供商妥善且安全地處理。

[專欄] 導入ISO/IEC 27017 擴展安全控制措施至雲端之上

雲端運算可無限擴展延伸的特性，已吸引了眾多組織的採納和運用，但是從資訊安全的角度來看，無論是大型的跨國企業像是Amazon和Google，或是單一國家或地區的中小型公司，包括雲端服務提供商和客戶雙方，都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。 

依據2016年11月由雲端安全聯盟和EY China所聯合發表針對金融服務產業的研究報告指出，百分之47.9的金融服務組織目前正在規劃和雲端有關的策略，但也有百分之54.2的組織指出，目前內部尚未針對雲端服務的資料安全定義需要遵循的法規。另外，百分之37.5的受訪者認為目前最大的雲端威脅，來自於管理階層缺少雲端安全管理的領導力，其主要原因是管理階層對於雲端安全的規範缺少了解和重視。 

關於雲端服務的資安管理，除了可參考廣泛適用的ISO/IEC 27001標準之外，在國際標準方面，ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引 ，更提供了針對雲端服務的額外安全控制措施。ISO/IEC 27017標準適用於所有類型和規模大小的組織，無論是自建的雲端服務或是透過購買所獲得的雲端服務，以及雲端服務提供商本身，皆可透過此一標準的指引，強化所提供或所使用的雲端服務的安全。 

[專欄] 評估雲端服務安全性 就從認識國際標準開始

隨著雲端服務的應用愈來愈普及，到底該如何評估雲端服務的安全性？這時服務提供商是否取得了相關的國際認證，就成為重要的參考指標。 

時至今日，有許多的政府單位和企業組織已逐漸地採用各式各樣的雲端服務，例如：雲端上的郵件服務、儲存空間、應用軟體及虛擬主機等。在採用雲端服務的效益方面，對於使用雲端服務已經數年的組織而言，都相當地肯定雲端服務的確為組織強化了資訊服務可用性、降低了營運成本，以及帶來高度彈性可擴充的能力。 

根據Crowd Research Partners最新發佈的2016雲端安全研究報告指出，在受訪者中有91%的組織對於雲端服務的安全性仍是相當關注的，也就是說，目前影響組織採用雲端服務主要障礙，還是來自於安全的疑慮、擔心資料遺失或外洩風險，以及需合乎相關法令法規的要求等。但對資訊人員而言，調查顯示最頭痛的問題則是如何確認雲端服務的安全政策與組織的要求一致、如何了解基礎設施的可見度，以及確保雲端服務能夠和既有的資安法規和標準要求接軌等三項議題。 

事實上，雲端安全的相關議題的確突顯了現今的雲端服務，無論是站在使用者的角度要選擇安全可靠的服務提供商，或是站在服務提供商的角度來確保雲端服務的安全性，都迫切需要找到一個彼此認可且具有公正性、代表性的指標，才能作為評估的基礎，而參考雲端安全相關的國際標準，就成為一個最佳的解決方案。