2011年11月18日 星期五

[新聞] 「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」已正式發布

CSA已正式發布了「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」,除了有部份內容經過改寫,特別強調「security、stability、privacy」這三點之外,新版大致上的架構仍是維持不變的,主要有更新的地方,包括新增加一個 Domain 14: Security as a Service,在Domain 3 和 Domain 5 的名稱也作了調整如下:

- Domain 3: Legal Issues: Contracts and Electronic Discovery
- Domain 5: Information Management and Data Security

目前,CCSK的考試仍維持在v2.1版的內容,所以如果您已準備好的話,進行考試還是沒問題的。至於未來考試會不會也配合更新,我想這是可預期的,若有任何更新的資訊,我會再提供給大家囉~

相關資訊請參閱CSA網站:
https://cloudsecurityalliance.org/research/initiatives/security-guidance/

2011年11月9日 星期三

[觀點] 解析資訊安全控制措施(五) - 通訊與作業的安全管理(中)

之前已針對ISO 27001中有關通訊與作業安全的控制措施,談到了監控資訊作業的相關活動和第三方的服務管理,本篇將繼續說明在此控制項目中的其他要求,以及在實務方面可以應用的管控作法。
註:上篇及下篇請參考之前發佈的內容。


過去,只要談到資訊安全防護,大多數人員直接聯想到的就是網路安全,認為需要在組織中部署防火牆和入侵偵測系統等產品,以防止來自網路的入侵和攻擊。雖然,這樣的認知是有點偏於狹隘的,但也突顯出網路安全其實就是組織在資安方面最為關注的地方,也願意將可運用的資源投入在網路安全上。

不過,網路安全除了導入技術面的資安產品之外,最重要的還是需要配合管理面的要求來進行,原因是技術性的作法,通常是為了要在問題發生時進行損害防阻,避免資訊資產受到損失,而管理面則是為了要防範問題於未然,事先透過作業流程的監控與設計,來降低其中潛藏的資安風險,因此,兩者在強化資安防護方面,肯定是相輔相成且缺一不可的。