[觀點] 雲端運算安全入門(八) - 傳統安全、營運持續與災難復原

上一篇我們說明了關於雲端服務的相互運作與可移植性，這是屬於雲端治理部分的最後一項安全領域，接下來將會解說雲端營運的部分，會牽涉到許多的技術性安全議題，這也是大多數組織較為重視的地方，和IT單位也會有更密切的關係。 

在「傳統安全、營運持續和災難復原」的安全領域中，雲端服務的用戶和供應商必須了解傳統的資安問題，在轉移到雲端服務的架構之後，是否都有對應的控制措施，一旦組織轉而採用或是由資訊單位本身提供雲端服務之後，對於資訊安全的控管與營運持續的要求為何？如何進行災難復原？就成為不得不去面對的一大問題。

[觀點] 雲端運算安全入門(七) - 雲端資料可移植性與相互運作

上一篇文章我們提到，針對資料一旦存放至雲端之後，應該要考量的資料安全風險和所需的控制措施，本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」，說明一旦需要更換雲端服務供應商時，實務上要注意的建議與做法。 

隨著雲端運算服務的蓬勃發展，對組織而言，可供選擇的服務供應商也會愈來愈多，就像一般的委外服務一樣，不見得永遠都會是可合作的夥伴，在許多情況之下，我們可能會想要更換雲端服務供應商，例如：服務供應商所提供的服務，達不到企業所需的業務要求或服務水準，甚至是無端的暫停服務或服務中斷；或是合約期滿之後，服務商提高續約的服務價格，或是想要修改合約內容，造成雙方的歧見無法達成共識等。 

因此，在一開始評估選擇雲端服務供應商時，資料是否可順利移轉到其他儲存設施或同類型的服務供應商，以及服務供應商是否能夠支援資料移轉的工作，就顯得十分重要，若是等到需要處理這些資料移轉工作時，才思考到相關的配套作法，往往是緩不濟急，尤其是若在當初的合約中，並未規範相關的事項，舊有的服務供應商又不願意提供所需的支援，可能就會引起更多的問題，更別提還需要維護資料本身的安全。 

[觀點] 雲端運算安全入門(六) - 雲端資料安全防護與管理

對組織而言，雲端服務和傳統資訊服務的最大不同之處，在於資料的本身不再像以往可由組織內部的資訊人員來管理，而是完全交由外部的雲端服務供應商。雖然對於用戶來說，藉由服務供應商所提供的管理介面，仍然可以針對資料進行新增、刪除、修改等動作，但事實上這樣的控制程度是很低的，因為用戶完全不清楚資料實際位於何處，以及是否已經完整的進行備份。

[觀點] 雲端運算安全入門(五) - 雲端法規遵循與稽核建議

上次我們談到了雲端運算的法律問題與電子證據的採集提供，對大多數由第三方所提供並且跨越國界的雲端服務而言，法律議題將會是一大挑戰。

因此，為了符合法規的要求，實施稽核將是一項必要的做法，本期將探討雲端的法規遵循事項與安全稽核建議。

許多組織由於本身所處行業屬性或是國情不同，所面臨到的法規要求也有所不同，舉例來說，像是健康醫療產業和電子商務業者，雖然他們可能採用同一雲端供應商的服務，但是對於如何維持法規的符合性，其要求的重點就會有顯著的差異。一般而言，醫療業者較為著重的是個人資料的隱私維護，而電子商務業者強調的則是交易過程的資料安全，因此如何評估雲端服務供應商所能涵蓋的資安與法規要求，將會是一開始就需要協調溝通與相互理解的重點。 

[觀點] 雲端運算安全入門(四) - 法律問題與電子證據蒐集

上一次談到了雲端運算與組織的經營治理，也就是高階管理階層對於雲端安全問題應有的認知，以及因應雲端部署和第三方的管理建議，本文將探討和雲端運算有關的法律問題與證據蒐集，以及用戶和服務供應商如何因應安全事件的調查。 

雲端運算的其中一項特徵是會將資源作動態的虛擬化分配，也就是說雲端資料的儲存位置將跨越國界，這對於許多雲端服務的用戶來說，可能會無法控制或是根本不清楚資料實際的存放地點。一旦企業選擇透過雲端運算，將商務或個人相關資料移轉到雲端之中，對於雲端服務可能面臨的法律議題，就必須要有所認知並了解所需的因應作法。 

目前在各個國家，針對資料的存取和利用，特別是和隱私有關的個人資料，都有其法律規定與要求，例如在亞太地區，包括日本、澳洲、紐西蘭等國家，以及即將實施個人資料保護法的台灣，對於個人資料的保護與安全方面，都有需要遵守的規範，其中最值得作為參考的基礎，就是由經濟合作發展組織(OECD)，針對個人資料的限制蒐集、正確完整性、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等，所提出的個人資料保護八大原則，以及亞太經濟合作論壇(APEC)所提出的隱私保護綱領。