[觀點] 雲端運算安全入門(一) - 您了解雲端之上的安全風險嗎？

雲端運算是目前最熱門的資訊科技應用之一，透過無遠弗屆的網路連結與運算資源，讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過，新科技的應用總有其風險存在，想要降低可能的安全風險，就有賴於足夠的認知和正確的應對之道。

在幾年前談到雲端運算時，它還只是一個趨勢和概念，許多人對於雲端都有不同的解讀與說法，甚至有人認為它只是舊酒裝新瓶的商業炒作，會是另一個網際網路上的泡沫。但是，隨著今日Amazon、Salesforce所提供的商業應用已相當成熟，Google、Apple所提供的Google doc、iCloud等服務，更讓一般大眾都能享受到雲端科技所帶來的便利與創新，雲端應用已不再只是一項口號，而是真正地實現在我們的生活之中。

面對雲端運算和其衍生的各項創新服務，有些先知先覺的開創者已經品嘗到甜美的果實，後知後覺的採用者也因為前人的經驗累積，逐漸地跟上雲端的腳步，但也有人因為不了解雲端，只是道聽塗說而害怕可能的安全問題，一直裹足不前的結果，反正讓自己錯失了良機，同時也失去了產業競爭力，這是令人感到惋惜的地方。

當然，雲端的應用並非全然都是正面的好，站在使用者的角度，我們必須先了解雲端先天的限制與部署的架構，才能讓它的應用符合自身的需求，同時也要明瞭可能潛藏的安全風險，才能進一步有效地駕御它，使其成為營運發展的好幫手，所以接下來的一系列文章，將帶領大家來一窺雲端安全的全貌。

[觀點] 解析資訊安全控制措施(完) - 資訊安全與法規遵循

上一次我們談到ISO 27001中有關如何避免資安問題影響企業營運的要求，以及在發生資安事件之前，應如何建立相關的事件處理應變流程，本文將說明在標準附錄的最後一項，有關法規遵循的控制措施。

在過去，每當與企業管理階層談到資訊安全的議題時，通常被重視的程度，大都遠低於和業務活動相關的事項。探究其背後原因，乃是當資安事件發生時，主管人員皆認為其可能造成的衝擊並不大，採取方式也往往是由內部人員來自行處理。

不過，隨著組織在營運活動上，愈來愈倚靠資訊系統的運作，再加上資訊可被傳遞的管道愈來愈多，讓現今的資安問題變得更加複雜，一旦發生資料外洩事件，也容易受到媒體矚目，民眾所產生的不良觀感，將對組織的信譽造成傷害，加上當事人若受到實質損害時，也會訴諸法律來尋求必要的賠償。

此外，企業若發生商業機密的外洩，也必須要因應與客戶或供應商所簽訂的合約中，明訂需要負責或賠償的事項，所以對企業而言，重視資安問題並在營運過程中識別出需要遵守的法律、法規及合約的安全要求，將它落實在內部的政策與作業規範，將會是最好的做法，只要能及早未雨綢繆，就可避免因資安事件所造成的傷害與損失。

[觀點] 解析資訊安全控制措施(十) - 資安事故管理與營運持續

上一次我們談到了ISO 27001中有關資訊系統的安全規格要求，以及在系統開發時，如何導入適當的安全控制來降低系統的安全風險，本期將說明接下來的資安事故管理與營運持續的控制措施。

在資訊安全的世界裡，無法達到所謂百分之百的安全，能夠做到的只有相對的安全，這是組織務必要體認的實際情況，因此，難免會有一些資安事件，像是電腦中毒、駭客入侵、資料損毀等狀況發生。既然無法保證絕對不會發生資安事件，那麼在事件發生時，為了要降低可能的損害，就需要事先建立處理應變的方式，才能將衝擊降到最低，甚至還要進一步擬定營運持續計劃，以便在災害擴大時，仍能保持業務營運的正常水準。