[專欄] 雲端控制矩陣安全措施簡介(三) - 資訊安全管理與控制措施 (1)

上一次介紹了雲端控制矩陣針對設備場所與人力資源的要求，並一一說明了其對應ISO 27001的安全控制措施，接下來將繼續說明在雲端控制矩陣中，第五項控制區域有關資訊安全的各項要求。

在雲端控制矩陣之中，擁有最多項控制要求的控制區域，無庸置疑的就是第五項「資訊安全」，在這裡一共包含了34個控制措施。在這些控制措施之中，從高階管理階層的要求開始，一路走到了技術面的安全要求，基本上已涵蓋了組織整體的資訊安全管理架構，分別說明如下。

[專欄] 雲端控制矩陣安全措施簡介(二) - 評估設備場所與人力資源安全

上一次我們介紹了雲端控制矩陣(CCM)針對法規遵循與資料治理的要求，並一一說明了對應的安全控制措施，接下來將繼續說明控制區域中的第三項設備場所安全，以及第四項人力資源安全的各項控制做法。

對雲端服務供應商而言，如果已經導入並取得了ISO 27001資訊安全管理系統的認證，那麼將相關的資訊安全控制要求，也涵蓋到所提供的雲端服務範圍之內，將是組織最容易強化雲端安全的做法。

目前，在雲端控制矩陣中的每一項控制措施，都可直接對應至ISO 27001的標準，因此建議組織將ISO 27001標準的實務做法，回應至雲端開放認證架構的第二層要求，在未來若想要通過第三方的獨立稽核時，就可達到事半功倍的效果。

[活動] BSI年會 - 雲端安全STAR認證正式開跑

今天參加了連續第十年舉辦的英國標準協會(BSI)年會，現場依舊是人潮滿滿、座無虛席。本次年會的重點在於說明有關ISO 27001:2013的更新內容，以及BSI與雲端安全聯盟(CSA)所合作推動的STAR認證。 

ISO 27001的更新，基本上和FDIS的內容差不多，所以我就不多說了，目前BSI也已經開始提供新版的訓練課程，至於轉版課程可能還要再等等。對我而言，最讓我感到有興趣的，其實是BSI對於雲端安全成熟度的評估方法，這將會決定想要取得STAR認證的雲端服務供應商，如何獲得其績效得分與獎牌。 

關於STAR認證

在2013年9月25日，CSA和BSI正式宣布推出STAR認證(STAR Certification)，這項認證結合了ISO 27001管理系統標準的要求，藉由實施雲端控制矩陣(Cloud Control Matrix；CCM)，再以成熟度評估的方式來量測雲端服務的安全水準。

[專欄] 自我評估雲端服務安全 - 雲端控制矩陣安全措施簡介(一)

如果您想要了解雲端服務供應商的安全水準，藉由雲端安全聯盟所提出的雲端開放認證架構(OCF)，可以作為在選擇服務廠商時的參考，因此這對於廠商而言，確實了解雲端控制矩陣(CCM)的要求，並且回應已實施的安全控制措施，就顯得十分重要。 

上一期我們介紹了雲端安全開放認證架構(Open Certification Framework；OCF)，它是一個可以用來評估雲端服務供應商的安全認證標準，在其所要求的三層式架構中，第一步就是要自我描述各項針對雲端服務的安全要求和因應措施，然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查，在此一層次中，除了使用自我評估問卷(Consensus Assessments Initiative Questionnaire；CAIQ)之外，直接採用雲端控制矩陣(Cloud Controls Matrix；CCM)所要求的安全控制，更可為第二層需要面對的外部稽核，預先做好準備。

[專欄] 評估雲端服務的安全性 - 雲端安全開放認證架構簡介

隨著雲端服務的迅速發展，無論是SaaS、PaaS、IaaS服務，各種雲端服務供應商都提供了消費者方便彈性、隨需可用的雲端服務，只是在眾多服務的背後，您是否了解廠商對於資安控管和安全責任的要求？是否可以安心地採用雲端服務呢？

面對如雨後春筍般出現的雲端服務，身為想要採用雲端服務的消費者，到底應該如何選擇一個可靠安全的雲端服務供應商？事實上並不容易。對消費者而言，公有的雲端服務，其實就是一種外包服務，消費者對於廠商的了解，可能來自於品牌印象、其他人的推薦，或是來自於媒體中刊登的廣告，對於價格或服務的內容，或許可以有所了解，但是對於廠商的資料保護能力、服務運作能力，以及資訊安全的管理要求和實施情況呢？或許心中仍然存在著許多的問號。

[專欄] 個資保護與隱私維護系列(五) - 保護個資的安全控制措施

上一次我們談到了許多和個人隱私有關的事項，雖然同屬於個人資料，但是在不同行業之間，隨著所適用的法規和客戶的期許不同，對個人資料的保護要求也有所差異，本文則將從評估個人資料的價值談起，探討適用於個資的安全控制措施。 

依據個人的觀察，雖然個資法的正式實施，已經讓企業明白保護個資是勢在必行的工作，但是究竟該由誰來負責或主導，仍然存在著許多不同的意見。

[證照] CIPP/IT 資訊科技隱私專家證照入手

之前曾經介紹在個人資料保護與隱私維護方面，唯一受到全球業界廣泛認可的資訊科技隱私專家證照-CIPP/IT，在我通過考試的一個多月之後，由官方所頒發的證書總算寄到了。

目前看起來，這應該是台灣的第一張，但我期待未來能有更多朋友能夠取得這張證照，所以希望透過訓練課程來協助大家準備，並且順利地通過考試。

如果您想要了解這張證照的相關資訊，可以先參考之前已發佈的「資訊科技隱私專家證照–CIPP/IT」這篇文章。

註：CIPP/IT目前已更換名稱為"Certified Information Privacy Technologist (CIPT)"

以下則是額外幾個有關這張證照的Q&A分享。 

Q. 若要報名CIPP考試，是否需要先加入IAPP會員？ 但會員的身分有好多種，需要以哪一種加入才行呢？ 

A: 一般而言，只要具備了任何一種身分，就能參加考試。如果您不是學生、政府、非營利組織和其認可的教育單位員工，就只能選擇加入專業會員(US$250)，會員除了可直接報名參加考試之外，還有個人可享的專屬福利，也就是網站上豐富的知識訊息和全球人脈的互動。 

Q. CIPP基礎認證要考90題，CIPP/IT認證要考60題，都是單選題嗎？各要答對幾題才能過關呢？又，基礎認證考試要先通過，才能再報名CIPP/IT認證考試嗎？ 

A: 所有題目皆為單選題，但IAPP並沒有公布總分和計分方式，考試結果也只有告知每個知識領域的答對率，沒有顯示得分，若通過則最後一行會顯示Pass。在基礎認證方面，個人評估必須要達到各知識領域平均的70%才行，CIPP/IT則是答對70%的題目就過關了。兩項考試沒有先後順序，但必須兩個考試都通過了，才能取得證照。考生可以同時報名兩項考試，也可以安排在同一天考試，但自己要預約並且預留足夠的考試時間(90分鐘+70分鐘)。

Q. CIPP指定的考場（Kryterion）滿少見的，目前台灣有幾個地方可以考試呢？ 

A: 目前資策會是唯一獲得Kryterion官方授權的考場，考試地點是在台北市復興南路一段390號2樓(捷運大安站旁)。考生可透過IAPP網站以會員登入之後，自行選擇想要考試的時間，要注意的是，並非7x24的所有時段都能考試，在預約了之後若要更動，必須提早在考試三天前才能進行。

[新知] 雲端安全開放認證架構 (OCF) 與雲端控制矩陣 (CCM)

面對如雨後春筍般出現的雲端服務，身為想要採用雲端服務的消費者，到底該如何選擇一個可靠安全的雲端服務供應商？

而身為雲端服務供應商的您，如何自我評估現有的雲端安全現況，並且展現積極有效的管理作為，來贏得消費者的信任？

對此，由CSA所推動的雲端安全開放認證架構（Open Certification Framework；OCF），並且使用雲端控制矩陣 (CCM)作為服務供應商評估安全成熟度的工具，為目前實務上的最佳參考，如果您想了解更多的訊息，請參考以下這篇文章。

http://www.netadmin.com.tw/article_content.aspx?sn=1306130001

[專欄] 個資保護與隱私維護系列(四) - 特定行業的個資隱私保護要求

上一次，我們談到了在個資保護與隱私維護方面，因為世界各國有著不同的法律，所以對隱私保護的要求也有所不同，不過基本上，大致仍遵循著一些共通的規範原則，本文將探討不同行業之間對個人資料應有的保護要求。 

依據個人資料保護法第二條的定義，只要是得以直接或間接方式，能夠識別該個人之資料，就是屬於受到法律保護的個人資料。換句話說，除了最常見的姓名、電話、地址、身分證字號、出生日期之外，還有許許多多可連結識別到特定個人的資料，這些都是各行各業不可忽視的個人資料內容。

其中比較特別的是在個資法第六條中指出，有關醫療、基因 、性生活、健康檢查及犯罪前科等個人資料，除非符合了特定的要件，否則預設是不能夠任意的蒐集、處理及利用的，這也就表示，如果您的組織是屬於經常性的會接觸到這些資料的產業，像是醫院、保險公司、健檢中心等，就更必須明白有些法律針對特定的敏感資料，它的要求與一般的個人資料是不太一樣的。

[專欄] 個資保護與隱私維護系列(三) - 各國隱私法規與個資保護要求

雖然隱私的維護要求並沒有國界之分，但各國對於隱私維護所制訂的法規卻有所不同，因此在個資保護方面，也必須依照不同國家的法律規定，評估可能面臨的最大風險，再來實施相對應的控制措施。

針對隱私保護，世界各國的法律要求皆有所不同，主要原因是不同的國家，由於其社會經濟發展的腳步並不一致，因此在保護的重點和程度上，皆有其各自的考量，也衍生出了不同的觀點。

以歐盟為例，它採用了廣泛性的一般適用原則，無論是政府或民間企業，都必須遵守其所頒布的資料保護法規，並且由專責的資料保護機構來予以監督，在這個原則之下，歐盟各國仍然保有其自主彈性的空間，可依據本身的國情與民眾的期待，實施所需的個人資料保護作法，以達成歐盟對於隱私維護的精神。

[專欄] 個資保護與隱私維護系列(二) - 個資保護與隱私維護的基本原則

隨著個人資料保護法的實施，個資保護已成為政府與企業不得不進行的重要工作之一，但是在立法的精神之中，除了強調個資保護責任，隱私維護更是不可或缺的重要支柱，如果無法維護個人隱私，也就意謂著個資保護一定不夠周全。 

在資安的領域之中，若是談到資料的保護，實施起來並不是一件十分困難的事，只要組織的管理階層願意提供支持，同時參考資安相關的標準來建立管理制度，並且採取適當的技術控制措施，在資安方面，即可達到一定程度的防護要求，也能大幅降低因發生資安事件而對營運造成衝擊的風險。 

不過，只要在保護的資料之中牽涉到個人資料，並且含括了隱私維護的要求，單靠技術層面的控管，恐怕就不足以因應法律層面的要求。因此，如果要落實個人隱私維護，就需要補充更多對法令的認識，以及對於個人隱私的認知與尊重，這和單純的資安防護比較起來，有著相當不同的思維與因應作法，也是一項更加多元的挑戰。

[專欄] 個資保護與隱私維護系列(一) - 資訊科技隱私專家證照–CIPP/IT

隨著個人資料保護法的正式上路，身為資訊人員的您，除非本身具有法律背景，否則面對多如牛毛的法條與施行細則，在日常的IT維運中是否真能派上用場，若心中還是存疑的話，或許就該尋求其他的因應之道了。 

在IT維運的日常工作之中，除了近年來日漸受到重視的軟體版權問題之外，資訊人員和法律打交道的機會幾乎是微乎其微，尤其是對於所謂的個資保護與隱私權概念，恐怕也是一知半解。但是隨著個人資料保護法已經正式實施，在許多的企業之中，個資法所要求的個資保護相關工作，許多責任都落到了資訊人員身上，這也驅使資訊人員必須要去學習這門新的顯學。

對資訊人員來說，法律知識是有專業門檻的，學習的重點也不是要去詮釋個資法條的意義，而是要將個資保護與隱私維護的精神，落實在日常的資訊工作之中。只是目前許多由法律專家所提出的建議，不見得能夠完全應用在資訊系統，所以到底該如何找到一個因應方法，就成為資訊人員頭痛的問題之一。

[新知] ISO 27001:2013 國際標準草案(DIS)版

為了因應ISO 27001在今年即將改版，BSI英國標準協會今天舉辦了ISO 27001國際標準草案版(Draft International Standard, DIS)的說明會，會中說明了幾個改版之後的方向，可做為已經導入或是即將導入ISO 27001的單位做為參考。

[觀點] 雲端運算安全入門(完) - 虛擬化安全與雲端資安服務

上一次我們探討了雲端服務的身分驗證，提到目前許多雲端服務綁定的都是使用者的帳號，如果沒有實施強健的安全機制，一旦帳號被挾持，就會產生嚴重的安全問題，本期將說明此系列文章的最後一個單元，說明雲端運算採用虛擬化技術的安全風險和透過雲端所提供的安全服務。 

在雲端運算的領域之中，最早被許多人認為是一種雲端技術的就是虛擬化技術，但事實上在雲端運算還沒有成為熱門的話題之前，虛擬化就已經被運用在儲存系統中，而且進一步擴展到主機層的虛擬化及網路層的虛擬化。 

對雲端運算的三種服務型式-SaaS、PaaS、IaaS而言，虛擬化目前已被廣泛的運用在IaaS服務之中，藉由虛擬主機(VM)的幫助，服務供應商提供了一個巨大的虛擬資源池(pool)，讓雲端運算可以快速且彈性的擴充，並且支援多租戶的方式，讓使用者可以採自助的方式，自由地調配所需的運算能力(包括CPU處理器、記憶體容量、儲存空間及虛擬主機的數量等)，同時虛擬主機也可作為提供SaaS、PaaS等服務的強大基礎。 

[證照] CCSK v3 考試正式上線

目前CSA網站已正式提供CCSK v3版本的考試，新舊版本考試的主要差異如下：

1. 考試題目增加為60題，應考時間也增長為90分鐘。(v2.1的題目為50題，時間為60分鐘)

2. 如果之前您就已經付費並取得舊版CCSK的考試許可，也可以直接使用它來參加新版的考試。

3. 如果您之前都是以安全指南v2.1的內容來準備CCSK考試，在2013年12月31日之前還可以選擇參加舊版的考試。

4. 對於已經通過考試並取得CCSK v2.1證書的人，並不需要參加新版考試來維持證書的有效性。在2013Q3，CSA將會提供一個免費的線上自我學習升級模組，讓所有取得CCSK的人都可以更新到v3版本。

5. 從2013年5月開始，CCSK考試費用將調整為345美元(v2.1為295美元)，一樣擁有兩次的考試機會，如果您之前就已經付完費用，或是在5月1日前先付費取得了考試許可，它都不會過期並可在任何時間參加考試。(這也就是說想取得CCSK認證的朋友，可以趁還沒漲價之前，就趕快先去完成報名吧!)

6. 如果想要準備CCSK v3考試，可以參考新版的考試準備指南：
https://cloudsecurityalliance.org/wp-content/uploads/2013/02/CCSK-Prep-Guide-V3.pdf

依據個人參加CCSK v3 beta版的考試經驗，新版本的考試依舊是有點難又不會太難，考題的問法和v2.1差不多，選項為多選一的方式，並搭配了幾題是非題(二選一)，也同樣需要答對80%以上考題才能過關。

至於在考試內容比例方面，v3的考試92%為安全指南的內容，8%為ENISA白皮書的內容，已經不考所謂的雲端運算常識題了。如果只研讀v2.1的安全指南內容就去應試v3，估計大概只能拿到70%的分數，所以未來勢必也要熟讀v3的安全指南內容，再加上ENISA的白皮書，才能順利通過新版的考試囉。

[資料來源]
https://cloudsecurityalliance.org/csa-news/ccsk-version-3-english-examination-is-now-available/

[觀點] 雲端運算安全入門(十二) - 雲端身分驗證與存取管理

上一次我們談到了雲端資料加密與金鑰管理的佈署重點，需要考量資料所在的位置及傳輸方式，作為選擇對應加密措施的基礎。至於在金鑰的管控方面，針對生命週期中的各個階段，金鑰本身同樣也需要實施適當的保護與備援機制，本文將說明有關雲端身分驗證與存取管理的重點。 

在現今網路發達的資訊時代，每個人在每一天或多或少都會使用到各式各樣的資訊系統，像是使用電子郵件、瀏覽臉書，或是進行網路購物、線上拍賣，甚至是網路銀行等。基本上，每當使用者登入資訊系統，並且能夠存取資訊時，至少都會經過三個階段，首先是要確認使用者的身分，其次是系統會決定給予使用者的權限，最後則是留下驗證與授權的各項記錄，以確認是否符合相關政策與程序的要求。