[觀點] 個人資料的資安控制措施

在個人資料保護法尚未三讀通過之前，個資保護並不是一個受人矚目的熱門議題，個人資料頂多只是附屬在資訊安全工作中，需要被記錄的一項資訊資產。

雖然資訊安全是一項重要的工作，但是在過去，對於許多企業組織而言，卻不見得是一項必須要達成的營運目標，只有那些具有遠見的管理人員，為了降低可能因為駭客入侵或不當存取而產生資料外洩的營運風險，或是受到上級主管機關要求的政府單位，才會認為資訊安全是一項需要落實的工作項目，進而要求各個部門需要強化資訊安全。 

如今，隨著個人資料保護法的實施，個資保護已成為一項勢在必行的工作，許多過去未曾在意資訊安全的企業組織，突然之間被要求需針對個人資料進行保護，並提出因應的相關做法，這時候往往都會感到不知所措。

[觀點] 雲端運算安全入門(十一) - 雲端資料加密與金鑰管理

上一次談到了雲端環境對應用程式部署的影響，我們需要考量資料控制、資源共享和法規問題所可能帶來的風險，更應確保一開始在軟體開發生命週期中，已將安全問題納入成為檢測的重點之一，本期我們將探討雲端資料加密與金鑰管理。 

在雲端運算服務之中，若以公有雲為例，雲端資料的儲存基本上是以委外方式來進行，這意味著除了同一個儲存資源會由多個用戶來共享之外，系統管理人員也可能會擁有可存取資料的權限，因此，如何確保資料的機密性與完整性，這是在雲端安全中最常被提出來探討的問題。

[觀點] 工作職場個資與隱私保護

隨著個人資料保護法的正式實施，目前與個人隱私保護有關的議題也逐漸躍上檯面，事實上，個人隱私是屬於憲法保障的人格權之一，因此對企業雇主而言，除了含有隱私的個人資料檔案，必須要有妥善的防護措施之外，如何去尊重員工的個人隱私權，確保工作職場的隱私保護，已是責無旁貸需要重視的地方。 

依據個人觀察，有些企業老闆因為擔心員工將公司的網路、電腦拿來公器私用，所以喜歡安裝一些網路監控或電腦監看的軟硬體，以達到監督員工的目的，卻不知道在未告知員工的情況下，擅自實施這樣的作法，很可能已經侵犯到員工的隱私權。 

[觀點] 網站隱私與個人資料保護

Google之前宣佈，為了精簡與整合60多項所提供的服務使用條款，包括了搜尋、電子郵件、影片、地圖等服務，將在2012年3月1日起實施更新的隱私權政策。雖然Google表示此一調整將讓隱私政策更加簡單易懂，而且絕對不會販售使用者的個人資訊給第三方，仍然在國內外引起了許多的意見與關注，歐盟隱私單位甚至提出在相關的調查結束之前，希望Google能暫緩實施新的隱私政策內容。 

目前，透過網站蒐集資料是最簡便快速的方式，組織要如何因應個人資料保護法的要求，確保個人隱私和資料安全，已是必須要審慎因應的重要課題。

[觀點] 雲端運算安全入門(十) - 雲端上的應用程式安全

上一次說明了資料中心的營運重點，包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求，也提到了必須要求服務供應商在發生資安事故時進行通報，並依照事前所擬定的應變流程進行處理，同時也要保留相關的記錄作為事故檢討，本文將探討在雲端之上的應用程式安全。 

資訊科技改變了世界，影響了所有人的生活，藉由資訊科技所提供的各項資訊服務，使得企業的經營運作更加地便利。對於傳統主從式架構(Client-Server)的應用服務而言，無論其資訊應用是檔案存取、電子郵件或是網頁瀏覽等，在程式的開發設計與維運方面，許多企業都累積了多年的經驗因而駕輕就熟，針對來自於軟體、作業系統、網路架構等可能產生的安全風險，隨著許多資安事件的發生，慢慢地也產生了安全意識與認知。 

不過，隨著雲端運算的出現，當這些應用程式部署到雲端之中，無論採用的型式是軟體即服務(SaaS)、平台即服務(PaaS)或基礎架構即服務(IaaS)，依照其服務型式的不同，應用程式的安全管理卻變成了一大挑戰。其主要的原因是傳統的應用服務大都來自企業本身資訊部門，無論開發、部署、維運、事件處理，有任何問題都能找到對應的窗口與負責的人員，但是對公有雲的雲端服務而言，本質上就是一項委外服務，也就表示以往既有的安全管控作法，也就必須要延伸至服務供應商的領域之中。