[新知] ISO 27017 雲端安全國際標準已正式發布

ISO 27017 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 已正式由ISO組織在2015年12月15日公布。

ISO 27017基本上是採用ISO 27002的控制措施，不過針對雲端安全的部份，它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化和虛擬網路的管理，以及系統管理者的操作安全和雲端服務的監控機制等。

基本上，ISO 27017不是一個獨立可驗證的標準，而是必須以ISO 27001做為基礎，再經由第三方驗證來證明組織同樣也遵循了ISO 27017的要求。

目前，已率先取得ISO 27017證書的是Amazon，包括其位於世界各地的資料中心和所提供的30多項雲端服務，都在驗證評估的範圍內，可說是業界的榜樣了。

[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全

隨著雲端服務已廣泛地受到個人和企業所使用，隱私維護與個人資料保護，更是用戶和雲端服務供應商，雙方都必須要重視的課題。對服務供應商來說，透過自我的安全評估並展現保護個人資料的決心，將有助於提升用戶的信心，也能強化市場的競爭力。 

目前，許多人對於雲端服務仍裹足不前的原因，有很大的一部份是來自於信任的問題，一旦個人或企業將自己擁有的資料上傳至雲端服務之後，就會擔心資料內容是否可能會被竊取或外洩，進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話，萬一遭到不當的揭露與使用，更可能會違反法令法規的要求，除了會造成企業的聲譽受損，很可能還要面對法律的懲處與求償。