[分享] 導入雲端標準前應思考的三件事

本週協助講授雲端服務資安管理主導稽核員的訓練課程，有學員詢問：「如果想要導入和驗證雲端服務的標準，那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準？」

這是一個好問題，基本上，許多有興趣導入和實施雲標準的組織，最常見的情況就是不太清楚自己是真正的雲服務，還是只是傳統的網站服務，也不太知道自己是哪一種服務型式。

幸好，在雲端服務發展的初期，美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145)，我個人喜歡把它稱之為「雲端運算的543」，組織可以利用它來評估自己是否有應用了雲端運算，而且是提供哪一類型的雲端服務。

Source: CSA Security Guidance

雲端標準導入第一步- 先確認自己是不是雲

關於雲端運算的543，其中5個基本特徵指的是:

1. 廣泛的網路存取 (Broad network access)：所提供的服務支援各種用戶端設備，包括但不限於手機、筆記型電腦、平板電腦等，基本上只要此設備上面有瀏覽器，就可以透過網路來存取雲端服務。
   
   
2. 快速且彈性的運作 (Rapid elasticity)：雲端服務的功能或資源可以快速且彈性的配置和調整，以租用IaaS的虛擬機器（VM）為例，租用雲端服務的顧客，可以依需求調整VM的數量，快速從10台擴展至50台，或是從50台減少至10台；若是SaaS的儲存服務，同樣也可以快速取得更多的儲存空間。在服務過程中，除了可自由手動配置之外，還可透過相關技術 (ex. API) 進行自動調整，如果口袋夠深，就可以實現在非常短時間內，獲得難以想像的運算能力，這是傳統IT架構比較難以達成的地方。
   
   
3. 可量測的服務 (Measured service)：雲端服務是一種租賃的服務，雲端服務顧客（Cloud Service Customer, CSC）可以透過網路取得雲端服務提供者（Cloud Service Provider, CSP）所提供的各項運算資源 (例如：儲存、運算、頻寬、線上應用服務的帳戶等)，通常可採用按次付費或按使用資源收費的方式。所以對雲端服務提供者而言，就必須提供透明化的方式，並且有能力可以監控、控制和提供報表，讓雲端服務顧客可以清楚掌握目前資源使用的情況，以及需要付出的費用。
   
   
4. 隨需的自助化服務 (On-demand self-service)：雲端服務可以讓顧客就像吃自助餐一樣，依照自己的喜好和需求來配置雲端運算的能力和資源，不需要透過雲端服務提供者的人工介入，包括申請、使用、配置功能和資源，都可以透過業者的雲端服務入口網站來達成。
   
   
5. 資源池的調配 (Resource pooling)：由於雲端服務提供給為數眾多的顧客來使用，所以會形成一種共用資源的多租戶模式 (multi-tenant model)，為了要達成上面提到的快速且彈性的擴充和運作，對於雲端服務提供者來說，就必須要有能力匯整和調配包括實體和虛擬化的資源 (例如處理器、記憶體、儲存空間及網路頻寬)，快速地提供給需要的顧客，或是由不使用的顧客端進行回收。這些資源池可能位於世界各地，讓租用服務的顧客可以快速取用，業者也可順利的回收匯整。

對有意導入和驗證雲標準的組織，第一步就是要確認自己提供或使用的服務，是否運用了雲端運算，能夠符合雲端服務的5個基本特徵。

舉例來說，如果組織提供的服務是一個官方網站，它使用了一台實體的主機 (Windows Server + IIS)，放在自己的機房，設定開放對外的網路 (TCP 80, 443 port)，提供了組織簡介和產品資訊等內容，也開放給使用者可加入網站會員，申請帳號並利用它來登入網站使用電子報的訂閱和取消功能。

雖然它可滿足了一項雲端運算的特徵 (廣泛的網路存取)，但在其他4項特徵方面如果都沒有相關的功能和機制，只能說它其實還是傳統的網站服務，並不是所謂的雲端服務，也不太適用雲端服務的標準。

當然，目前NIST並沒有定義雲端服務需要完全滿足以上5個特徵，但若只是符合其中一項或二項，然後就認為自己是雲端服務的提供者，那實在是有點牽強。既然本質上不是雲端服務，又要強求去實施雲端服務相關的控制措施，恐怕很多的控制措施都很難展現和達成，也是浪費了組織的時間和人力成本。

但是，官方網站真的不能適用和驗證雲端服務的標準嗎？

有一種情況是可以實現的，就是組織同樣提供官網和會員的網站服務，但不是放在自家建置的環境，而是租用了其他業者的雲端服務，例如跟AWS, Azure, GCP租用虛擬主機，在上面運行所提供的網站服務。

這時候，藉由租用符合雲端運算5個基本特徵的雲端服務提供者的資源，就可以對外宣稱自己的網站服務是運用了雲端運算的服務，只不過組織的角色，並不會因此就直接變成雲端服務提供者，組織本身其實是雲端服務顧客的角色。

如果組織的目的是為了強化內部使用雲端服務的資訊安全，那就可以導入和驗證適用顧客的雲端標準 (ISO 27017) 了。

雲端標準導入第二步- 提供什麼類型的雲服務

關於雲端運算的543，剩下的4和3指的是：

• 4種部署模式：公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
  
  
• 3種服務型式： SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)

若是確認了自己的服務已具備雲端運算的基本特徵，接下來請問問自己，採用的部署模式是什麼？所提供的是哪一類型的雲服務。

雲端標準導入第三步- 釐清自己的角色

如果您的組織和Microsoft、Google、Amazon一樣，提供各式各樣的雲服務給大家使用，並且滿足雲端服務的5大特徵，您就是「雲端服務提供者 (Cloud Service Provider, CSP)」。

如果您的組織單純只是使用現有的雲服務，例如：M365, GCP, AWS EC2等，那您就是「雲端服務顧客 (Cloud Service Customer, CSC)」。

如果您的組織像是儲存服務的業者Dropbox，在底層的儲存空間租用了AWS S3服務 (IaaS)，並且利用它來打造成為自己的檔案儲存應用服務 (SaaS)，此應用服務也藉由自己提供的機制符合了雲端運算的五大特徵，那麼您就是同時兼具了雲端服務顧客 (面對AWS)，同時也是雲端服務提供者 (面對Dropbox顧客)的角色。

最後，如果您已完全清楚了以上三件事，下一篇文章將告訴您如何選擇適用的雲端服務國際標準。

[分享] 製造業的資安管理重點

上週到新竹某個高科技製造業公司，擔任 ISO 27001 Lead Auditor 的課程講師，現場有參與課程的學員問到，對高科技製造業者來說，需要考量的資安管理重點是什麼？

一般來說，高科技製造業的資安管理，至少需要涵蓋以下三個層面：

1. 生產製造：建立機台相關控制系統的存取控制、網路管理及端點裝置防護的流程；

2. 內部系統：實施基礎設施的實體安全管理、強化內部系統安全 (ex. MES, ERP) 及資料保護的控制措施；

3. 外部服務：針對供應商和供應鍊的安全管理，以及使用外部提供的新興科技服務 (ex. Cloud, AI) 的管控機制。

另外，除了定期實施一般人員的資安訓練，防範社交工程和釣魚郵件的威脅，強化最高管理階層的資安認知也是必要的工作，唯有最高管理階層具備資安風險管理的觀念，才有辦法帶領組織和員工落實資訊安全的要求。

[證照] 通過CCSK v5考試

趁著最近在講授ISO 27017和ISO 27018課程的空檔，總算把先前花了錢購買了考試代幣，但是拖了很久沒動的CCSK v5考試給完成了。 

跟我上一次考的CCSK v3相比，CCSK v5的考試總算是對考生比較友善了，題目內容不長且難易適中，只要閱讀和利用CSA提供可免費下載的「CCSK Offical Study Guide」，應該就能順利通過考試，當然比較保險的話，把「Security Guidance (對岸有簡體中文版可下載)」也看過一遍，對於整體的雲端安全觀念會更加完整。

對於考試有興趣的夥伴們，可直接到CSA官網下載「CCSK v5 Prep Kit」，裡面提供很豐富的資訊 (包括上面提到的 Offical Study Guide 和 Security Guidance)，以下則是利用AI彙整的考試說明，請參考。 

CCSK 考試注意事項

• 考試形式：考試是線上進行的開卷考試 (Open book)。 

• 考試結構：考試包含 60 題多重選擇題，每個題目都是單選題，這些問題是從題庫中隨機選取的，因此每次考試的問題不一定相同。 

• 時間限制：CCSK v5 考試的時間限制為 120 分鐘，考生可以先註記困難的題目，最後再回頭作答。

• 通過分數：考試的最低通過分數是 80%。 

• 考試次數與代幣費用 (Standard Exam Token)：一個標準考試代幣的費用是 $445 美元，包含最多 2 次考試機會，如果你在第一次嘗試時失敗了，沒有強制規定需要等待多久才能參加第二次考試，但建議在失敗後花時間重新學習一下不熟的知識領域。 

• 考試時間與地點：考試不需預約特定的考試日期，因為是線上考試，可以隨時自行安排並使用自己的電腦，你也不需要到考試中心參加考試。

• 考試結果與檢討：考試結束之後，結果會立即知道，通過就可以取得電子版的證書。為了維護考試的完整性，考試平台不會提供你答錯的具體題目答案，但是，平台會顯示每個領域的題目數量，以及你在每個領域答對的數量，這有助於考生了解哪些知識領域需要加強學習。

[分享] ISO 27001:2022 本文新增之條款

受到國際公認的新版ISO 27001:2022資訊安全管理系統 (ISMS) 國際標準，從2022年10月底正式公告發行之後，至今也已經屆滿一週年了，依據ISO組織的要求，所有取得舊版證書的組織，都必須要在三年的轉換期內 (2025年10月底前) 完成轉版稽核，以便持續維持證書的有效性，接下來跟大家分享新版和舊版中，主要條款內容的差異，希望能夠協助大家順利的完成轉版的工作。

在ISO 27001: 2022 標準本文中主要的改變，就是加入了一個全新的條款「6.3 變更之規劃」，要求「當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更」。在舊版標準中，提到跟變更有關的要求，應該就是「A.12.1.2 變更管理」的控制措施了，這個控制措施要求「應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更」。所以大到不管是組織的策略方向和營運過程的改變可能影響到資安，小至資訊系統和防火牆的設定異動調整，都需要備妥正式的管理責任及程序，以確保所有變更之控制皆符合要求，並留下適當的記錄。

不過在新版的標準中，跟組織ISMS有關的變更要求，已經把它歸屬在「6.3 變更之規劃」中了，至於舊版原本的「A.12.1.2 變更管理」控制措施，條款編號已經調整為「8.32 變更管理」，並且也將控制措施的要求，調整為「資訊處理設施及資訊系統之變更，應遵循變更管理程序」，也就是改變成為只針對資訊處理設施和資訊系統的變更管理要求了。

實務分享

至於在什麼樣的情況下，組織需要依照「6.3 變更之規劃」的要求來實施呢？

一般而言，通常是組織有重大的異動 (例如合併了另一家公司)，或是資訊相關作業活動有了重大的改變，ISMS管理制度可能就得因應來做調整，以下舉一個例子來說明。

舉例: 某組織選擇停止自建和維運現有的實體機房，改為採用三大公有雲所提供的 IaaS 服務，將資訊系統運作在租用的虛擬機器 (VM) 之上。此時，當組織決定採用由外部提供的雲端服務時，就需要考量 ISMS 體系面 (本文4-10章節) 的管理要求，以有計畫的方式做出ISMS的對應調整，並且留下適當的記錄，包括: 

• 鑑別與雲端服務有關的內外部議題和關注方的期望與要求 (4.1, 4.2)。
  
  
• 資安政策中是否包括針對雲端安全的要求事項，以及持續改善的承諾 (5.2)。
  
  
• 針對使用的雲端服務進行風險評鑑和風險處理 (6.1, 8.2, 8.3)，選擇適當的控制措施 (A.5.23)。
  
  
• 考量針對雲端服務制訂相關的資訊安全目標，並且定期進行監督與量測 (6.2, 9.1)。
  
  
• 實施和雲端服務有關的專業與認知教育訓練 (7.2, 7.3)。
  
  
• 確保使用雲端服務的過程實施適切的控制，例如: 管理外部供應商 (8.1)。
  
  
• 針對使用的雲端服務進行內部稽核 (9.2)，管理審查時進行與雲端服務相關的反饋與改善 (9.3, 10)
  
  

查核重點

最後，組織在進行自我查核和檢視相關稽核證據時，可考量以下事項: 

1. 詢問組織如何決定需要變更資訊安全管理系統 (ISMS)，所採取的規劃方式是什麼？
   
   
2. 詢問如何針對ISMS管理體系 (本文4-10) 做出因應的調整？
   
   
3. 針對所做出的ISMS管理體系之調整，檢視對應的客觀證據有哪些？
   

[新知] ISO 42001 - 人工智能管理系統 (AIMS) 的國際標準即將誕生

隨著AI (人工智能) 技術的快速發展，對於許多業者基於AI所提供的產品或服務，許多人也擔心新科技的應用可能會對人類的生活產生負面的影響，因此，如何讓AI科技的發展能夠趨於正途，成為了一個值得關注的議題。

目前人工智能管理系統 Artificial intelligence Management system (AIMS) 的國際標準「ISO 42001」，已經進入到最後草稿版本的審查階段，預計將在2023年12月正式公布。

# 更新: ISO 42001標準已於2023-12-18正式發布了~~

ISO 42001的AIMS和ISO 27001的ISMS一樣，同樣要求組織從「風險」的角度，評估提供AI的產品或服務，可能面臨的品質、安全、隱私、公平性、可靠性和透明度等議題所帶來的風險，進而實施對應的管控措施。

ISO 42001標準的內容，主要分為兩個部份，第一部份是本文第4章至第10章的內容，和ISO 27001資訊安全管理系統 (ISMS)一樣，遵循了ISO組織所定義的高階結構 (Annex SL)，主要是說明如何建立、實施、維持與持續改善組織的人工智能管理系統 (AIMS)，它能夠幫助組織以負責任的態度去開發或使用AI，並且達成法規的要求，同時也可滿足社會與眾多關注方的期望。

4 組織全景

   4.1 了解組織及其全景

   4.2 了解關注方的需要與期望

   4.3  決定AI管理系統的範圍

   4.4  AI管理系統

5 領導作為

    5.1 領導與承諾

    5.2 AI政策

    5.3 角色、責任與權限

6  規劃

    6.1 因應風險與機會之行動

           6.1.1 一般要求

           6.1.2 AI風險評鑑

           6.1.3 AI風險處理

           6.1.4 AI系統衝擊分析

     6.2 AI目標與達成之規劃

     6.3 變更之規劃

7 支援

    7.1 資源

    7.2 能力

    7.3 認知

    7.4 溝通

    7.5 文件化資訊

8 運作

    8.1 運作規劃與控制

    8.2 AI風險評鑑

    8.3 AI風險處理

    8.4 AI系統衝擊分析

9 績效評估

   9.1 監督、量測、分析及評估

   9.2 內部稽核

   9.3 管理審查

10 改善

    10.1 持續改善

    10.2 不符合事項與矯正措施

至於ISO 42001標準的第二部份，則包括了以下四個附錄的內容：

附錄A是參考之控制目標與控制措施，以表格說明了附錄B.2至B.10的控制措施要求。

附錄B是AI控制措施的實施指引 (內容有點像是ISO 27002，它是控制措施的參考書)

B.1 一般說明

B.2 AI相關之政策

B.3 內部組織

B.4 AI系統之資源

B.5 AI系統之衝擊分析

B.6 AI系統生命週期

B.7 AI系統之資料

B.8 關注方之資訊

B.9 AI系統之使用

B.10 第三方與顧客關係

附錄C是可能的AI相關組織目標與風險來源

C.1 一般說明

C.2 目標

C.3 風險來源

附錄D是使用AI管理系統涉及的領域或行業

D.1 一般說明

D.2 AI管理系統與其他管理系統標準之整合