[新知] 雲端安全開放認證架構 (OCF) 與雲端控制矩陣 (CCM)

面對如雨後春筍般出現的雲端服務，身為想要採用雲端服務的消費者，到底該如何選擇一個可靠安全的雲端服務供應商？

而身為雲端服務供應商的您，如何自我評估現有的雲端安全現況，並且展現積極有效的管理作為，來贏得消費者的信任？

對此，由CSA所推動的雲端安全開放認證架構（Open Certification Framework；OCF），並且使用雲端控制矩陣 (CCM)作為服務供應商評估安全成熟度的工具，為目前實務上的最佳參考，如果您想了解更多的訊息，請參考以下這篇文章。

http://www.netadmin.com.tw/article_content.aspx?sn=1306130001

[專欄] 個資保護與隱私維護系列(四) - 特定行業的個資隱私保護要求

上一次，我們談到了在個資保護與隱私維護方面，因為世界各國有著不同的法律，所以對隱私保護的要求也有所不同，不過基本上，大致仍遵循著一些共通的規範原則，本文將探討不同行業之間對個人資料應有的保護要求。 

依據個人資料保護法第二條的定義，只要是得以直接或間接方式，能夠識別該個人之資料，就是屬於受到法律保護的個人資料。換句話說，除了最常見的姓名、電話、地址、身分證字號、出生日期之外，還有許許多多可連結識別到特定個人的資料，這些都是各行各業不可忽視的個人資料內容。

其中比較特別的是在個資法第六條中指出，有關醫療、基因 、性生活、健康檢查及犯罪前科等個人資料，除非符合了特定的要件，否則預設是不能夠任意的蒐集、處理及利用的，這也就表示，如果您的組織是屬於經常性的會接觸到這些資料的產業，像是醫院、保險公司、健檢中心等，就更必須明白有些法律針對特定的敏感資料，它的要求與一般的個人資料是不太一樣的。

[專欄] 個資保護與隱私維護系列(三) - 各國隱私法規與個資保護要求

雖然隱私的維護要求並沒有國界之分，但各國對於隱私維護所制訂的法規卻有所不同，因此在個資保護方面，也必須依照不同國家的法律規定，評估可能面臨的最大風險，再來實施相對應的控制措施。

針對隱私保護，世界各國的法律要求皆有所不同，主要原因是不同的國家，由於其社會經濟發展的腳步並不一致，因此在保護的重點和程度上，皆有其各自的考量，也衍生出了不同的觀點。

以歐盟為例，它採用了廣泛性的一般適用原則，無論是政府或民間企業，都必須遵守其所頒布的資料保護法規，並且由專責的資料保護機構來予以監督，在這個原則之下，歐盟各國仍然保有其自主彈性的空間，可依據本身的國情與民眾的期待，實施所需的個人資料保護作法，以達成歐盟對於隱私維護的精神。

[專欄] 個資保護與隱私維護系列(二) - 個資保護與隱私維護的基本原則

隨著個人資料保護法的實施，個資保護已成為政府與企業不得不進行的重要工作之一，但是在立法的精神之中，除了強調個資保護責任，隱私維護更是不可或缺的重要支柱，如果無法維護個人隱私，也就意謂著個資保護一定不夠周全。 

在資安的領域之中，若是談到資料的保護，實施起來並不是一件十分困難的事，只要組織的管理階層願意提供支持，同時參考資安相關的標準來建立管理制度，並且採取適當的技術控制措施，在資安方面，即可達到一定程度的防護要求，也能大幅降低因發生資安事件而對營運造成衝擊的風險。 

不過，只要在保護的資料之中牽涉到個人資料，並且含括了隱私維護的要求，單靠技術層面的控管，恐怕就不足以因應法律層面的要求。因此，如果要落實個人隱私維護，就需要補充更多對法令的認識，以及對於個人隱私的認知與尊重，這和單純的資安防護比較起來，有著相當不同的思維與因應作法，也是一項更加多元的挑戰。

[專欄] 個資保護與隱私維護系列(一) - 資訊科技隱私專家證照–CIPP/IT

隨著個人資料保護法的正式上路，身為資訊人員的您，除非本身具有法律背景，否則面對多如牛毛的法條與施行細則，在日常的IT維運中是否真能派上用場，若心中還是存疑的話，或許就該尋求其他的因應之道了。 

在IT維運的日常工作之中，除了近年來日漸受到重視的軟體版權問題之外，資訊人員和法律打交道的機會幾乎是微乎其微，尤其是對於所謂的個資保護與隱私權概念，恐怕也是一知半解。但是隨著個人資料保護法已經正式實施，在許多的企業之中，個資法所要求的個資保護相關工作，許多責任都落到了資訊人員身上，這也驅使資訊人員必須要去學習這門新的顯學。

對資訊人員來說，法律知識是有專業門檻的，學習的重點也不是要去詮釋個資法條的意義，而是要將個資保護與隱私維護的精神，落實在日常的資訊工作之中。只是目前許多由法律專家所提出的建議，不見得能夠完全應用在資訊系統，所以到底該如何找到一個因應方法，就成為資訊人員頭痛的問題之一。