2017年2月15日 星期三

[專欄] 導入ISO/IEC 27017 擴展安全控制措施至雲端之上

雲端運算可無限擴展延伸的特性,已吸引了眾多組織的採納和運用,但是從資訊安全的角度來看,無論是大型的跨國企業像是Amazon和Google,或是單一國家或地區的中小型公司,包括雲端服務提供商和客戶雙方,都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。 

依據2016年11月由雲端安全聯盟和EY China所聯合發表針對金融服務產業的研究報告指出,百分之47.9的金融服務組織目前正在規劃和雲端有關的策略,但也有百分之54.2的組織指出,目前內部尚未針對雲端服務的資料安全定義需要遵循的法規。另外,百分之37.5的受訪者認為目前最大的雲端威脅,來自於管理階層缺少雲端安全管理的領導力,其主要原因是管理階層對於雲端安全的規範缺少了解和重視。 

關於雲端服務的資安管理,除了可參考廣泛適用的ISO/IEC 27001標準之外,在國際標準方面,ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引 ,更提供了針對雲端服務的額外安全控制措施。ISO/IEC 27017標準適用於所有類型和規模大小的組織,無論是自建的雲端服務或是透過購買所獲得的雲端服務,以及雲端服務提供商本身,皆可透過此一標準的指引,強化所提供或所使用的雲端服務的安全。