[觀點] 雲端運算安全入門(五) - 雲端法規遵循與稽核建議

上次我們談到了雲端運算的法律問題與電子證據的採集提供，對大多數由第三方所提供並且跨越國界的雲端服務而言，法律議題將會是一大挑戰。

因此，為了符合法規的要求，實施稽核將是一項必要的做法，本期將探討雲端的法規遵循事項與安全稽核建議。

許多組織由於本身所處行業屬性或是國情不同，所面臨到的法規要求也有所不同，舉例來說，像是健康醫療產業和電子商務業者，雖然他們可能採用同一雲端供應商的服務，但是對於如何維持法規的符合性，其要求的重點就會有顯著的差異。一般而言，醫療業者較為著重的是個人資料的隱私維護，而電子商務業者強調的則是交易過程的資料安全，因此如何評估雲端服務供應商所能涵蓋的資安與法規要求，將會是一開始就需要協調溝通與相互理解的重點。 

因此，用戶在採用雲端服務之前，就必須要先了解供應商所提供的雲端服務是否能夠實現符合法規的要求，以及是否可能產生無法接受的風險。例如在新版個人資料保護法中，醫療資訊的蒐集是受到限制的，如果透過雲端服務去蒐集民眾的醫療相關資訊，並且作為資訊交換平台再提供給第三方合作業者的查詢利用，很可能就會有違法之虞，這時候雲端服務就不該是組織應考量的實務作法。

另外，先前曾經提過在服務供應商和用戶之間，到底該如何區隔彼此在法律上的責任，可能是容易受到遺漏的地方，對服務供應商來說，這同時也牽涉到是否有能力可以提供用戶法規遵循的相關資料，包括了能夠展現法規要求的文件、作業流程和稽核證據，以及能否配合必要的定期稽核與實施方式等，這些都將會影響用戶採用雲端服務的意願。

盡早釐清法規遵循的要求

事實上，雲端服務所具有的彈性特徵，相對於組織對法規的遵循要求，兩者之間就有如是在頭尾開往不同方向的火車機車頭，如果一方面愈是保有彈性，也就表示另一頭的法規愈難予以規範實施，而彼此之間在拉扯時所產生的營運風險，就是組織必須及早加以因應的地方。

換句話說，如果組織對於法規遵循有著高度的要求，那麼尋找有共同想法的服務供應商，將可以有效避免彼此對於法規有著不同的期待與差異發生。目前，許多的國際標準都還沒有考量到雲端服務的適用性與要求，就以最普遍的資訊安全管理標準ISO 27001為例，條文中並沒有特別提到針對雲端服務的資安控制措施。不過，這並不表示雲端服務就不適用於來自ISO 27001的安全要求，而是需要服務供應商與用戶來協調彼此能夠認可的方式。

在CSA的雲端運算關鍵領域安全指南中，對於法規遵循的問題，建議應從以下三個面向來加以探討：

• 首先是站在「企業治理」的角度而言，法規遵循的要求可能來自於組織內部的政策與董事會決議，也涵括了外部的法律、工業標準與合約。因此需要確保組織的管理階層、利害關係人(如股東)及營運策略(包括政策指引和控制措施)，彼此之間能夠達到一致平衡，才足以為企業作出有效的決策，這也就表示雲端服務的採用，必須要符合企業營運成長與管理目標才行。


• 其次是站在「企業風險管理」的立場，必須基於組織的營運目標，採行一套切實可行並且能夠識別特定事件的風險評鑑方法，藉此來評估風險存在的可能性和對組織可能造成的衝擊，以便實施適當的監控與回應，保護並且創造利害關係人可獲致的最大效益。 


• 最後則是理解「法規遵循與稽核要求」，要能夠有效識別與企業有關的法令、規範、社會責任、合約要求等，評估萬一無法符合以上的要求時，對企業可能產生的風險和造成損害的成本，以決定所需要採取的改善行動。

雲端服務稽核實施建議

除了從服務供應商和消費者角度來看法規遵循要求之外，雲端運算也為稽核人員出了一個頭痛的難題，首先會面臨的就是到底有哪些法規適用於雲端服務，其次則是受稽方或服務供應商到底要如何展現已經符合特定法規的要求。對雲端服務的安全管理而言，實施稽核是一項必要的作法，可以確認自己或服務供應商是否已符合內部與外部的各項要求。

針對雲端服務的安全稽核，雲端運算關鍵領域安全指南也提供了以下建議：

1. 將實施稽核的權利納入合約之中，如果雲端服務供應商已取得相關的國際認證(如ISO 27001)，則認證的相關內容可作為替代實施的參考。 


2. 用戶應要求有權獲得稽核所需的相關資訊，包括了系統架構、Log、稽核報告等。 


3. 用戶可要求雲端供應商定期審查、更新、發佈和資訊安全有關的流程與文件，包括了弱點分析與風險處理的改善行動。 


4. 雲端服務供應商與用戶之間，彼此應同意採用共同的架構與標準，以確保在安全管理與控制上的要求能夠趨於一致。 


5. 用戶應選擇熟悉雲端服務的稽核人員，對許多稽核員來說，熟悉法規條款內容已是必要的專業之一，但是面對新興的雲端應用服務，稽核員對於雲端服務的特徵、佈署模式及服務型式，勢必也要有所了解才行。

討論合約內容以尋求共識

對服務供應商和用戶而言，如何在稽核過程中，準備法規所需且充足的資料，其實是相當困難的，這也就是說，事前了解雲端服務的特徵與架構，可以讓彼此雙方站在一個良好的溝通基礎上。如果雲端服務供應商，本身已經取得相關法規標準的認證，這將會是彼此合作的最佳證明；如果缺少了法規標準認證，服務供應商也能夠提出符合要求的證明，同樣可以作為替代性的因應參考。

如果組織在法規遵循方面有一定的要求，那麼在一開始和服務供應商討論合約內容時，就應該讓法規專家能夠及早介入，以確保合約內容能夠符合組織的期待與要求。例如在合約之中，納入有權針對服務供應商實施稽核的條款，說明供應商需要配合的實施範圍與工作內容，以及需要提供給稽核人員的審查資料等。

最後要提醒的是，在討論法規遵循時，千萬不要只侷限在雲端服務供應商和採用服務的組織本身，應該也要將供應商背後的供應商和使用組織服務的終端使用者也一併納入，如果服務供應商能夠將法規遵循完全落實在雲端服務合約之中，那這很可能就是解決法規問題的良方，更有可能是吸引眾多企業和政府單位，願意投入採納雲端服務的亮點之一。(本文刊載於2012年4月號網管人雜誌)

[參考資料] 
CSA：Security Guidance for Critical Areas of Focus in Cloud Computing