[分享] 如何選擇適用的雲端安全標準

上一篇文章，分享了「導入雲端安全標準前應思考的三件事」，如果您已經確認組織所提供的服務，符合了雲端運算的五個基本特徵，並且歸納出是屬於哪一種部署模式和服務型式，也清楚了組織的角色是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP)，那接下您就可以參考這一篇文章，選用適合實施和進行驗證的雲端安全標準。

Source: BSI

可實施驗證的雲端安全標準

目前國際上認可和雲端安全有關，常見並且可以實施驗證的四個標準如下：

1. ISO/IEC 27001：它是適用於各行各業的資訊安全管理標準，可協助組織建立一個資訊安全管理系統 (ISMS)，藉由執行風險評鑑來選擇適當的控制措施，定義組織要達成的資安目標，再透過定期實施的內部稽核和管理審查，讓組織秉持PDCA的精神來持續改善資安，組織必須先通過ISO 27001驗證，這是獲得其他雲端安全標準證書的基本要求。
   
   
2. ISO/IEC 27017：它是基於ISO 27002，所延伸補充的雲端服務資訊安全控制措施的實作指引 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)，可適用於四種部署模式 (公有雲、私有雲、社群雲、混合雲) 和三種服務型式 (SaaS, PaaS, IaaS)，也同時適用雲端服務顧客 (CSC) 和雲端服務提供者 (CSP) 兩種角色。換句話說，它是目前適用性最廣泛的雲端安全標準。
   
   
3. CSA STAR：它是由雲端安全聯盟 (CSA)，所推出由產業認可的雲端安全標準，本身是基於由產業工作小組所聯合發展的雲端控制矩陣 (Cloud Control Matrix, CCM)，在實施之後，雲端服務提供者可藉由完成雲端安全自評表 (CAIQ)，或委由獨立公正的驗證單位像是BSI實施稽核，讓組織來展現已達成CSA STAR Level 1和Level 2的驗證。適用的對象，通常是以提供公有雲的三種服務型式為主的雲端服務提供者 (CSP) 。
   
   
4. ISO/IEC 27018：它是基於ISO 29100的隱私框架 (Privacy Framework) 和延伸補充自ISO 27002的控制措施，提供給PII處理者於公有雲環境，依據合約或協議處理個人可識別資訊 (PII) 時可遵循的實作指引 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)。這個標準是目前適用性範圍最小的，適用的對象包括提供公有雲的三種服務型式，但必須是PII處理者 (經由控制者委託處理PII) 的雲端服務提供者 (CSP)。

最簡單的評估和選擇方法

看了以上的說明，各位肯定還是眼花繚亂和一頭霧水，對吧？別擔心，這裡介紹簡單選用的三個步驟 - 先釐清組織角色 (CSC or CSP)、確認服務類型 (SaaS, PaaS, IaaS)、選用部署模式 (公有雲、私有雲、社群雲、混合雲)，再依下列方法來選擇。

選擇一，無論您的組織是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP) ，使用或提供的是哪一種服務型式，也不管是哪一種部署模式，ISO 27017 肯定是最為適用的雲端安全標準。

選擇二，如果您的組織是雲端服務提供者 (CSP)，提供了任何一種的服務型式 ，通常部署的模式為公有雲 (Public Cloud) ，那麼選擇實施 CSA STAR 沒問題。

選擇三，如果您的組織是雲端服務提供者 (CSP)，在公有雲上提供了任何一種的服務型式，並且受到您的顧客委託 (有簽訂合約或協議)，使用雲服務來進行個資 (PII) 處理的活動，那麼您可以選擇實施ISO 27018來強化雲端服務的個資與隱私保護。

最後，再從組織角色方面，歸納出以下最簡單的判斷方式。

• 如果您是雲端服務顧客 (CSC)，只能驗證 ISO 27001 + ISO 27017。
• 如果您是雲端服務提供者 (CSP)，可以驗證 ISO 27001 + ISO 27017 + CSA STAR。
• 如果您是雲端服務提供者 (CSP)，並且也是公有雲的PII處理者，可以驗證 ISO 27001 + ISO 27017 + CSA STAR + ISO 27018。

 

[分享] 導入雲端標準前應思考的三件事

本週協助講授雲端服務資安管理主導稽核員的訓練課程，有學員詢問：「如果想要導入和驗證雲端服務的標準，那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準？」

這是一個好問題，基本上，許多有興趣導入和實施雲標準的組織，最常見的情況就是不太清楚自己是真正的雲服務，還是只是傳統的網站服務，也不太知道自己是哪一種服務型式。

幸好，在雲端服務發展的初期，美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145)，我個人喜歡把它稱之為「雲端運算的543」，組織可以利用它來評估自己是否有應用了雲端運算，而且是提供哪一類型的雲端服務。

Source: CSA Security Guidance

雲端標準導入第一步- 先確認自己是不是雲

關於雲端運算的543，其中5個基本特徵指的是「廣泛的網路存取、快速且彈性的運作、可量測的服務、隨需的自助化服務、虛擬化的資源池」。

舉例來說，如果組織提供的服務是官方網站，它使用了一台實體的主機 (Windows Server + IIS)，放在自己的機房，設定開放對外的網路 (TCP 80, 443 port)，提供了組織簡介和產品資訊等內容，雖然它已滿足了一項雲端運算的特徵 (廣泛的網路存取)，但只能說它其實是傳統的網站服務，並不是所謂的雲端服務。

NIST並沒有定義，雲端服務需要完全滿足以上5個特徵，但若只是符合其中一項或二項，然後說自己是雲端服務，那實在有點牽強。

雲端標準導入第二步- 提供什麼類型的雲服務

關於雲端運算的543，剩下的4和3指的是：

• 4種部署模式：公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
• 3種服務型式： SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)

若是確認了自己的服務已具備雲端運算的基本特徵，接下來請問問自己，採用的部署模式是什麼？所提供的是哪一類型的雲服務。

雲端標準導入第三步- 釐清自己的角色

如果您的組織和Microsoft、Google、Amazon一樣，提供各式各樣的雲服務給大家使用，您就是雲端服務提供者 (Cloud Service Provider)。

如果您的組織單純只是使用現有的雲服務，例如：M365, GCP, AWS EC2等，那您就是雲端服務顧客 (Cloud Service Customer)。

如果您的組織像是Dropbox，底層的儲存空間租用了AWS S3服務，並且利用它來打造成為自己的SaaS檔案儲存服務，那您就是雲端服務顧客 (CSC)，同時也是雲端服務提供者 (CSP)。

最後，如果您已完全清楚了以上三件事，下一篇文章將告訴您如何選擇適用的雲端服務國際標準。

[分享] 製造業的資安管理重點

上週到新竹某個高科技製造業公司，擔任 ISO 27001 Lead Auditor 的課程講師，現場有參與課程的學員問到，對高科技製造業者來說，需要考量的資安管理重點是什麼？

一般來說，高科技製造業的資安管理，至少需要涵蓋以下三個層面：

1. 生產製造：建立機台相關控制系統的存取控制、網路管理及端點裝置防護的流程；

2. 內部系統：實施基礎設施的實體安全管理、強化內部系統安全 (ex. MES, ERP) 及資料保護的控制措施；

3. 外部服務：針對供應商和供應鍊的安全管理，以及使用外部提供的新興科技服務 (ex. Cloud, AI) 的管控機制。

另外，除了定期實施一般人員的資安訓練，防範社交工程和釣魚郵件的威脅，強化最高管理階層的資安認知也是必要的工作，唯有最高管理階層具備資安風險管理的觀念，才有辦法帶領組織和員工落實資訊安全的要求。

[證照] 通過CCSK v5考試

趁著最近在講授ISO 27017和ISO 27018課程的空檔，總算把先前花了錢購買了考試代幣，但是拖了很久沒動的CCSK v5考試給完成了。 

跟我上一次考的CCSK v3相比，CCSK v5的考試總算是對考生比較友善了，題目內容不長且難易適中，只要閱讀和利用CSA提供可免費下載的「CCSK Offical Study Guide」，應該就能順利通過考試，當然比較保險的話，把「Security Guidance (對岸有簡體中文版可下載)」也看過一遍，對於整體的雲端安全觀念會更加完整。

對於考試有興趣的夥伴們，可直接到CSA官網下載「CCSK v5 Prep Kit」，裡面提供很豐富的資訊 (包括上面提到的 Offical Study Guide 和 Security Guidance)，以下則是利用AI彙整的考試說明，請參考。 

CCSK 考試注意事項

• 考試形式：考試是線上進行的開卷考試 (Open book)。 

• 考試結構：考試包含 60 題多重選擇題，每個題目都是單選題，這些問題是從題庫中隨機選取的，因此每次考試的問題不一定相同。 

• 時間限制：CCSK v5 考試的時間限制為 120 分鐘，考生可以先註記困難的題目，最後再回頭作答。

• 通過分數：考試的最低通過分數是 80%。 

• 考試次數與代幣費用 (Standard Exam Token)：一個標準考試代幣的費用是 $445 美元，包含最多 2 次考試機會，如果你在第一次嘗試時失敗了，沒有強制規定需要等待多久才能參加第二次考試，但建議在失敗後花時間重新學習一下不熟的知識領域。 

• 考試時間與地點：考試不需預約特定的考試日期，因為是線上考試，可以隨時自行安排並使用自己的電腦，你也不需要到考試中心參加考試。

• 考試結果與檢討：考試結束之後，結果會立即知道，通過就可以取得電子版的證書。為了維護考試的完整性，考試平台不會提供你答錯的具體題目答案，但是，平台會顯示每個領域的題目數量，以及你在每個領域答對的數量，這有助於考生了解哪些知識領域需要加強學習。

[解析] ISO 27001:2022 新版標準之改變與實務分享 (一)

受到國際公認的新版ISO 27001:2022資訊安全管理系統 (ISMS) 國際標準，從2022年10月底正式公告發行之後，至今也已經屆滿一週年了，依據ISO組織的要求，所有取得舊版證書的組織，都必須要在三年的轉換期內 (2025年10月底前) 完成轉版稽核，以便持續維持證書的有效性，接下來跟大家分享新版和舊版中，主要條款內容的差異，希望能夠協助大家順利的完成轉版的工作。

在ISO 27001: 2022 標準本文中主要的改變，就是加入了一個全新的條款「6.3 變更之規劃」，要求「當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更」。在舊版標準中，提到跟變更有關的要求，應該就是「A.12.1.2 變更管理」的控制措施了，這個控制措施基本上算是住海邊的，要求「應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更」。所以大到不管是組織的策略方向和營運過程的改變可能影響到資安，小至資訊系統和防火牆的設定異動調整，都需要備妥正式的管理責任及程序，以確保所有變更之控制皆符合要求，並留下適當的記錄。

不過在新版的標準中，跟組織ISMS有關的變更要求，已經把它歸屬在「6.3 變更之規劃」中了，至於舊版原本的「A.12.1.2 變更管理」控制措施，條款編號已經調整為「8.32 變更管理」，並且也將控制措施的要求，調整為「資訊處理設施及資訊系統之變更，應遵循變更管理程序」，所以總算從原本住海邊管很大的控制措施，改變成為只針對資訊處理設施和資訊系統的變更管理要求了。

實務分享

至於在什麼樣的情況下，需要依照「6.3 變更之規劃」的要求來實施呢？以下舉一個例子來說明。

舉例: 當組織決定採用由外部提供的雲端服務時 (像是決定不自建維運機房了，改為採用三大公有雲的IaaS服務)，就需要考量ISMS體系面 (本文4-10) 的管理要求，以有計畫的方式做出ISMS的對應調整，並留下適當的記錄，包括: 

• 鑑別與雲端服務有關的內外部議題和關注方的期望與要求 (4.1, 4.2)。
• 資安政策中是否包括針對雲端安全的要求事項，以及持續改善的承諾 (5.2)。
• 針對使用的雲端服務進行風險評鑑和風險處理 (6.1, 8.2, 8.3)，選擇適當的控制措施 (A.5.23)。
• 考量針對雲端服務制訂相關的資訊安全目標，並且定期進行監督與量測 (6.2, 9.1)。
• 實施和雲端服務有關的專業與認知教育訓練 (7.2, 7.3)。
• 確保使用雲端服務的過程實施適切的控制，例如: 供應商管理 (8.1)。
• 針對使用的雲端服務進行內部稽核 (9.2)，管理審查時進行與雲端服務相關的反饋與改善 (9.3, 10)
  
  

查核重點

最後，組織在進行自我查核和檢視相關稽核證據時，可考量以下事項: 

1. 詢問組織如何決定需要變更資訊安全管理系統 (ISMS)，所採取的規劃方式是什麼？
   
   
2. 詢問如何針對ISMS管理體系 (本文4-10) 做出因應的調整？
   
   
3. 針對所做出的ISMS管理體系之調整，檢視對應的客觀證據有哪些？