[專欄] 評估雲端服務安全性 就從認識國際標準開始

隨著雲端服務的應用愈來愈普及，到底該如何評估雲端服務的安全性？這時服務提供商是否取得了相關的國際認證，就成為重要的參考指標。 

時至今日，有許多的政府單位和企業組織已逐漸地採用各式各樣的雲端服務，例如：雲端上的郵件服務、儲存空間、應用軟體及虛擬主機等。在採用雲端服務的效益方面，對於使用雲端服務已經數年的組織而言，都相當地肯定雲端服務的確為組織強化了資訊服務可用性、降低了營運成本，以及帶來高度彈性可擴充的能力。 

根據Crowd Research Partners最新發佈的2016雲端安全研究報告指出，在受訪者中有91%的組織對於雲端服務的安全性仍是相當關注的，也就是說，目前影響組織採用雲端服務主要障礙，還是來自於安全的疑慮、擔心資料遺失或外洩風險，以及需合乎相關法令法規的要求等。但對資訊人員而言，調查顯示最頭痛的問題則是如何確認雲端服務的安全政策與組織的要求一致、如何了解基礎設施的可見度，以及確保雲端服務能夠和既有的資安法規和標準要求接軌等三項議題。 

事實上，雲端安全的相關議題的確突顯了現今的雲端服務，無論是站在使用者的角度要選擇安全可靠的服務提供商，或是站在服務提供商的角度來確保雲端服務的安全性，都迫切需要找到一個彼此認可且具有公正性、代表性的指標，才能作為評估的基礎，而參考雲端安全相關的國際標準，就成為一個最佳的解決方案。

[新知] 智慧城市國際標準 - PAS 181簡介

PAS 181是由英國標準協會(bsi)所撰寫的標準，其中所提出的智慧城市框架(Smart City Framework；SCF)，它提供了實務可用的建議，並且廣泛地反映來自於公部門、私人企業與自願投入者所在領域的最佳實務，主要是為了讓智慧城市的發起人，以及各個部門與層級的領導者，作為建立智慧城市計畫時的參考指南，藉此以促進整個智慧城市的推動。

智慧城市的定義

PAS 181對智慧城市的定義為：「一個有效整合環境中實體、數位與人類的系統，為市民提供一個可持續發展、繁榮、包容性的環境。」

在發展智慧城市的過程中，必須有一個明確的指導方針和策略藍圖，才不會迷失方向。因此，PAS 181提供一個智慧城市框架，作為智慧城市的頂層設計指南，提供給城市管理者參考，它是一個可以被城市管理者與不同部門使用的智慧城市設計指南，主要分為四個部份：「指導方針」、「14個關鍵的城市治理與實施流程」、「效益實現策略」及「關鍵成功要素」。

[新知] ISO 27017 雲端安全國際標準已正式發布

ISO 27017 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 已正式由ISO組織在2015年12月15日公布。

ISO 27017基本上是採用ISO 27002的控制措施，不過針對雲端安全的部份，它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化和虛擬網路的管理，以及系統管理者的操作安全和雲端服務的監控機制等。

基本上，ISO 27017不是一個獨立可驗證的標準，而是必須以ISO 27001做為基礎，再經由第三方驗證來證明組織同樣也遵循了ISO 27017的要求。

目前，已率先取得ISO 27017證書的是Amazon，包括其位於世界各地的資料中心和所提供的30多項雲端服務，都在驗證評估的範圍內，可說是業界的榜樣了。

[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全

隨著雲端服務已廣泛地受到個人和企業所使用，隱私維護與個人資料保護，更是用戶和雲端服務供應商，雙方都必須要重視的課題。對服務供應商來說，透過自我的安全評估並展現保護個人資料的決心，將有助於提升用戶的信心，也能強化市場的競爭力。 

目前，許多人對於雲端服務仍裹足不前的原因，有很大的一部份是來自於信任的問題，一旦個人或企業將自己擁有的資料上傳至雲端服務之後，就會擔心資料內容是否可能會被竊取或外洩，進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話，萬一遭到不當的揭露與使用，更可能會違反法令法規的要求，除了會造成企業的聲譽受損，很可能還要面對法律的懲處與求償。

[專欄] 確保資訊安全管理持續有效 - 為升級ISO 27001新版標準做好準備

國際知名的資訊安全管理標準ISO 27001，已經在2013年底正式更新了內容，如果您所屬的組織過去已經導入了2005年的標準，現在也應該要為符合最新的標準要求而做好準備，以確保資訊安全管理制度能夠持續有效地運作實施。

隨著時間的改變，資訊安全的問題也變得更加地多樣化，舉例來說，在五年以前，行動化裝置和雲端服務的安全可能都不會是大家注目的焦點，但時至今日，這些資安風險已成為企業組織不得不去面對的重要課題。

在資訊安全的領域，除了駭客攻防的技術之外，資安管理機制也是必要的措施，而國際標準ISO 27001一向是公認最佳的資安實務參考，隨著不同資安風險的出現，國際標準內容的更新有其必要性，同時也可以讓組織能夠持續地因應新的資安問題，以便採取適當的安全控制措施。