[專欄] 個資保護與隱私維護系列(三) - 各國隱私法規與個資保護要求

雖然隱私的維護要求並沒有國界之分，但各國對於隱私維護所制訂的法規卻有所不同，因此在個資保護方面，也必須依照不同國家的法律規定，評估可能面臨的最大風險，再來實施相對應的控制措施。

針對隱私保護，世界各國的法律要求皆有所不同，主要原因是不同的國家，由於其社會經濟發展的腳步並不一致，因此在保護的重點和程度上，皆有其各自的考量，也衍生出了不同的觀點。

以歐盟為例，它採用了廣泛性的一般適用原則，無論是政府或民間企業，都必須遵守其所頒布的資料保護法規，並且由專責的資料保護機構來予以監督，在這個原則之下，歐盟各國仍然保有其自主彈性的空間，可依據本身的國情與民眾的期待，實施所需的個人資料保護作法，以達成歐盟對於隱私維護的精神。

[專欄] 個資保護與隱私維護系列(二) - 個資保護與隱私維護的基本原則

隨著個人資料保護法的實施，個資保護已成為政府與企業不得不進行的重要工作之一，但是在立法的精神之中，除了強調個資保護責任，隱私維護更是不可或缺的重要支柱，如果無法維護個人隱私，也就意謂著個資保護一定不夠周全。 

在資安的領域之中，若是談到資料的保護，實施起來並不是一件十分困難的事，只要組織的管理階層願意提供支持，同時參考資安相關的標準來建立管理制度，並且採取適當的技術控制措施，在資安方面，即可達到一定程度的防護要求，也能大幅降低因發生資安事件而對營運造成衝擊的風險。 

不過，只要在保護的資料之中牽涉到個人資料，並且含括了隱私維護的要求，單靠技術層面的控管，恐怕就不足以因應法律層面的要求。因此，如果要落實個人隱私維護，就需要補充更多對法令的認識，以及對於個人隱私的認知與尊重，這和單純的資安防護比較起來，有著相當不同的思維與因應作法，也是一項更加多元的挑戰。

[專欄] 個資保護與隱私維護系列(一) - 資訊科技隱私專家證照–CIPP/IT

隨著個人資料保護法的正式上路，身為資訊人員的您，除非本身具有法律背景，否則面對多如牛毛的法條與施行細則，在日常的IT維運中是否真能派上用場，若心中還是存疑的話，或許就該尋求其他的因應之道了。 

在IT維運的日常工作之中，除了近年來日漸受到重視的軟體版權問題之外，資訊人員和法律打交道的機會幾乎是微乎其微，尤其是對於所謂的個資保護與隱私權概念，恐怕也是一知半解。但是隨著個人資料保護法已經正式實施，在許多的企業之中，個資法所要求的個資保護相關工作，許多責任都落到了資訊人員身上，這也驅使資訊人員必須要去學習這門新的顯學。

對資訊人員來說，法律知識是有專業門檻的，學習的重點也不是要去詮釋個資法條的意義，而是要將個資保護與隱私維護的精神，落實在日常的資訊工作之中。只是目前許多由法律專家所提出的建議，不見得能夠完全應用在資訊系統，所以到底該如何找到一個因應方法，就成為資訊人員頭痛的問題之一。

[新知] ISO 27001:2013 國際標準草案(DIS)版

為了因應ISO 27001在今年即將改版，BSI英國標準協會今天舉辦了ISO 27001國際標準草案版(Draft International Standard, DIS)的說明會，會中說明了幾個改版之後的方向，可做為已經導入或是即將導入ISO 27001的單位做為參考。

[觀點] 雲端運算安全入門(完) - 虛擬化安全與雲端資安服務

上一次我們探討了雲端服務的身分驗證，提到目前許多雲端服務綁定的都是使用者的帳號，如果沒有實施強健的安全機制，一旦帳號被挾持，就會產生嚴重的安全問題，本期將說明此系列文章的最後一個單元，說明雲端運算採用虛擬化技術的安全風險和透過雲端所提供的安全服務。 

在雲端運算的領域之中，最早被許多人認為是一種雲端技術的就是虛擬化技術，但事實上在雲端運算還沒有成為熱門的話題之前，虛擬化就已經被運用在儲存系統中，而且進一步擴展到主機層的虛擬化及網路層的虛擬化。 

對雲端運算的三種服務型式-SaaS、PaaS、IaaS而言，虛擬化目前已被廣泛的運用在IaaS服務之中，藉由虛擬主機(VM)的幫助，服務供應商提供了一個巨大的虛擬資源池(pool)，讓雲端運算可以快速且彈性的擴充，並且支援多租戶的方式，讓使用者可以採自助的方式，自由地調配所需的運算能力(包括CPU處理器、記憶體容量、儲存空間及虛擬主機的數量等)，同時虛擬主機也可作為提供SaaS、PaaS等服務的強大基礎。