[專欄] 評估雲端服務的安全性 - 雲端安全開放認證架構簡介

隨著雲端服務的迅速發展，無論是SaaS、PaaS、IaaS服務，各種雲端服務供應商都提供了消費者方便彈性、隨需可用的雲端服務，只是在眾多服務的背後，您是否了解廠商對於資安控管和安全責任的要求？是否可以安心地採用雲端服務呢？

面對如雨後春筍般出現的雲端服務，身為想要採用雲端服務的消費者，到底應該如何選擇一個可靠安全的雲端服務供應商？事實上並不容易。對消費者而言，公有的雲端服務，其實就是一種外包服務，消費者對於廠商的了解，可能來自於品牌印象、其他人的推薦，或是來自於媒體中刊登的廣告，對於價格或服務的內容，或許可以有所了解，但是對於廠商的資料保護能力、服務運作能力，以及資訊安全的管理要求和實施情況呢？或許心中仍然存在著許多的問號。

[專欄] 個資保護與隱私維護系列(五) - 保護個資的安全控制措施

上一次我們談到了許多和個人隱私有關的事項，雖然同屬於個人資料，但是在不同行業之間，隨著所適用的法規和客戶的期許不同，對個人資料的保護要求也有所差異，本文則將從評估個人資料的價值談起，探討適用於個資的安全控制措施。 

依據個人的觀察，雖然個資法的正式實施，已經讓企業明白保護個資是勢在必行的工作，但是究竟該由誰來負責或主導，仍然存在著許多不同的意見。

[證照] CIPP/IT 資訊科技隱私專家證照入手

之前曾經介紹在個人資料保護與隱私維護方面，唯一受到全球業界廣泛認可的資訊科技隱私專家證照-CIPP/IT，在我通過考試的一個多月之後，由官方所頒發的證書總算寄到了。

目前看起來，這應該是台灣的第一張，但我期待未來能有更多朋友能夠取得這張證照，所以希望透過訓練課程來協助大家準備，並且順利地通過考試。

如果您想要了解這張證照的相關資訊，可以先參考之前已發佈的「資訊科技隱私專家證照–CIPP/IT」這篇文章。

註：CIPP/IT目前已更換名稱為"Certified Information Privacy Technologist (CIPT)"

以下則是額外幾個有關這張證照的Q&A分享。 

Q. 若要報名CIPP考試，是否需要先加入IAPP會員？ 但會員的身分有好多種，需要以哪一種加入才行呢？ 

A: 一般而言，只要具備了任何一種身分，就能參加考試。如果您不是學生、政府、非營利組織和其認可的教育單位員工，就只能選擇加入專業會員(US$250)，會員除了可直接報名參加考試之外，還有個人可享的專屬福利，也就是網站上豐富的知識訊息和全球人脈的互動。 

Q. CIPP基礎認證要考90題，CIPP/IT認證要考60題，都是單選題嗎？各要答對幾題才能過關呢？又，基礎認證考試要先通過，才能再報名CIPP/IT認證考試嗎？ 

A: 所有題目皆為單選題，但IAPP並沒有公布總分和計分方式，考試結果也只有告知每個知識領域的答對率，沒有顯示得分，若通過則最後一行會顯示Pass。在基礎認證方面，個人評估必須要達到各知識領域平均的70%才行，CIPP/IT則是答對70%的題目就過關了。兩項考試沒有先後順序，但必須兩個考試都通過了，才能取得證照。考生可以同時報名兩項考試，也可以安排在同一天考試，但自己要預約並且預留足夠的考試時間(90分鐘+70分鐘)。

Q. CIPP指定的考場（Kryterion）滿少見的，目前台灣有幾個地方可以考試呢？ 

A: 目前資策會是唯一獲得Kryterion官方授權的考場，考試地點是在台北市復興南路一段390號2樓(捷運大安站旁)。考生可透過IAPP網站以會員登入之後，自行選擇想要考試的時間，要注意的是，並非7x24的所有時段都能考試，在預約了之後若要更動，必須提早在考試三天前才能進行。

[新知] 雲端安全開放認證架構 (OCF) 與雲端控制矩陣 (CCM)

面對如雨後春筍般出現的雲端服務，身為想要採用雲端服務的消費者，到底該如何選擇一個可靠安全的雲端服務供應商？

而身為雲端服務供應商的您，如何自我評估現有的雲端安全現況，並且展現積極有效的管理作為，來贏得消費者的信任？

對此，由CSA所推動的雲端安全開放認證架構（Open Certification Framework；OCF），並且使用雲端控制矩陣 (CCM)作為服務供應商評估安全成熟度的工具，為目前實務上的最佳參考，如果您想了解更多的訊息，請參考以下這篇文章。

http://www.netadmin.com.tw/article_content.aspx?sn=1306130001

[專欄] 個資保護與隱私維護系列(四) - 特定行業的個資隱私保護要求

上一次，我們談到了在個資保護與隱私維護方面，因為世界各國有著不同的法律，所以對隱私保護的要求也有所不同，不過基本上，大致仍遵循著一些共通的規範原則，本文將探討不同行業之間對個人資料應有的保護要求。 

依據個人資料保護法第二條的定義，只要是得以直接或間接方式，能夠識別該個人之資料，就是屬於受到法律保護的個人資料。換句話說，除了最常見的姓名、電話、地址、身分證字號、出生日期之外，還有許許多多可連結識別到特定個人的資料，這些都是各行各業不可忽視的個人資料內容。

其中比較特別的是在個資法第六條中指出，有關醫療、基因 、性生活、健康檢查及犯罪前科等個人資料，除非符合了特定的要件，否則預設是不能夠任意的蒐集、處理及利用的，這也就表示，如果您的組織是屬於經常性的會接觸到這些資料的產業，像是醫院、保險公司、健檢中心等，就更必須明白有些法律針對特定的敏感資料，它的要求與一般的個人資料是不太一樣的。