[新知] ISO 27017 雲端安全國際標準已正式發布

ISO 27017 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 已正式由ISO組織在2015年12月15日公布。

ISO 27017基本上是採用ISO 27002的控制措施，不過針對雲端安全的部份，它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化和虛擬網路的管理，以及系統管理者的操作安全和雲端服務的監控機制等。

基本上，ISO 27017不是一個獨立可驗證的標準，而是必須以ISO 27001做為基礎，再經由第三方驗證來證明組織同樣也遵循了ISO 27017的要求。

目前，已率先取得ISO 27017證書的是Amazon，包括其位於世界各地的資料中心和所提供的30多項雲端服務，都在驗證評估的範圍內，可說是業界的榜樣了。

[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全

隨著雲端服務已廣泛地受到個人和企業所使用，隱私維護與個人資料保護，更是用戶和雲端服務供應商，雙方都必須要重視的課題。對服務供應商來說，透過自我的安全評估並展現保護個人資料的決心，將有助於提升用戶的信心，也能強化市場的競爭力。 

目前，許多人對於雲端服務仍裹足不前的原因，有很大的一部份是來自於信任的問題，一旦個人或企業將自己擁有的資料上傳至雲端服務之後，就會擔心資料內容是否可能會被竊取或外洩，進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話，萬一遭到不當的揭露與使用，更可能會違反法令法規的要求，除了會造成企業的聲譽受損，很可能還要面對法律的懲處與求償。

[專欄] 確保資訊安全管理持續有效 - 為升級ISO 27001新版標準做好準備

國際知名的資訊安全管理標準ISO 27001，已經在2013年底正式更新了內容，如果您所屬的組織過去已經導入了2005年的標準，現在也應該要為符合最新的標準要求而做好準備，以確保資訊安全管理制度能夠持續有效地運作實施。

隨著時間的改變，資訊安全的問題也變得更加地多樣化，舉例來說，在五年以前，行動化裝置和雲端服務的安全可能都不會是大家注目的焦點，但時至今日，這些資安風險已成為企業組織不得不去面對的重要課題。

在資訊安全的領域，除了駭客攻防的技術之外，資安管理機制也是必要的措施，而國際標準ISO 27001一向是公認最佳的資安實務參考，隨著不同資安風險的出現，國際標準內容的更新有其必要性，同時也可以讓組織能夠持續地因應新的資安問題，以便採取適當的安全控制措施。

[專欄] 識別員工BYOD的隱私風險 - 漫談行動裝置的安全與管理

隨著愈來愈多的企業，允許員工攜帶自有的行動裝置(BYOD)上班，並且使用在日常工作之中，一旦這些行動裝置離開了企業環境，企業要如何管控行動裝置上所儲存的大量商業資料，實施有效的安全管理，同時也要避免侵害員工的隱私？ 

隨著Apple iOS、Android及Windows手機與平版電腦如雨後春筍般的銷售成長，其中有一項行銷的策略在於廠商讓消費者明白了，購買這些行動裝置不只可以作為生活中的娛樂之用，更可以同時使用於工作之中，創造了使用者在購買時一次滿足的強烈欲望。

[專欄] 捍衛網路安全 - 美國白宮網路安全框架 (NIST Cybersecurity Framework) 導覽

對於政府單位或民間企業而言，面對日益增加且來自世界各地的網路攻擊事件，如果沒有一套有效的因應方案，重則會對國家經濟與民生問題造成嚴重打擊，輕則會對企業生產營運產生不必要的損失與影響。 

在2014年2月，美國政府正式提出了一項可強化資訊安全的網路安全框架 (NIST Cybersecurity Framework)，它主要是來自於2013年美國總統歐巴馬所頒佈的總統執行命令，要求必須著手改善有關網路安全的重要基礎設施。這項框架不但 透過了政府部門與民間產業的攜手合作，利用一年的時間來彼此交流各項最佳實務，更結合了國際上有關資訊安全的標準與作法，除了可以協助已導入其他標準的組織最佳化其安全實務之外，更可提供缺少安全計畫的企業，一項可以完整實施的參考藍圖。 

網路安全框架是一項自願性的參與計畫，主要是希望美國聯邦機構和地方政府，同時也包括電力、運輸等重要的基礎產業，能夠強化自身的網路安全，以避免受到來自網路的重大威脅，並且結合了業界標準與最佳實務，幫助企業組織能夠有效地管理網路安全風險。此一框架並非要取代組織中現有的資訊安全與風險管理架構，而是希望能夠與現有的流程結合並互補，以便組織能夠持續地改善以達到更高的安全目標。