[專欄] 導入ISO/IEC 27017 擴展安全控制措施至雲端之上

雲端運算可無限擴展延伸的特性，已吸引了眾多組織的採納和運用，但是從資訊安全的角度來看，無論是大型的跨國企業像是Amazon和Google，或是單一國家或地區的中小型公司，包括雲端服務提供商和客戶雙方，都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。 

依據2016年11月由雲端安全聯盟和EY China所聯合發表針對金融服務產業的研究報告指出，百分之47.9的金融服務組織目前正在規劃和雲端有關的策略，但也有百分之54.2的組織指出，目前內部尚未針對雲端服務的資料安全定義需要遵循的法規。另外，百分之37.5的受訪者認為目前最大的雲端威脅，來自於管理階層缺少雲端安全管理的領導力，其主要原因是管理階層對於雲端安全的規範缺少了解和重視。 

關於雲端服務的資安管理，除了可參考廣泛適用的ISO/IEC 27001標準之外，在國際標準方面，ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引 ，更提供了針對雲端服務的額外安全控制措施。ISO/IEC 27017標準適用於所有類型和規模大小的組織，無論是自建的雲端服務或是透過購買所獲得的雲端服務，以及雲端服務提供商本身，皆可透過此一標準的指引，強化所提供或所使用的雲端服務的安全。 

[專欄] 評估雲端服務安全性 就從認識國際標準開始

隨著雲端服務的應用愈來愈普及，到底該如何評估雲端服務的安全性？這時服務提供商是否取得了相關的國際認證，就成為重要的參考指標。 

時至今日，有許多的政府單位和企業組織已逐漸地採用各式各樣的雲端服務，例如：雲端上的郵件服務、儲存空間、應用軟體及虛擬主機等。在採用雲端服務的效益方面，對於使用雲端服務已經數年的組織而言，都相當地肯定雲端服務的確為組織強化了資訊服務可用性、降低了營運成本，以及帶來高度彈性可擴充的能力。 

根據Crowd Research Partners最新發佈的2016雲端安全研究報告指出，在受訪者中有91%的組織對於雲端服務的安全性仍是相當關注的，也就是說，目前影響組織採用雲端服務主要障礙，還是來自於安全的疑慮、擔心資料遺失或外洩風險，以及需合乎相關法令法規的要求等。但對資訊人員而言，調查顯示最頭痛的問題則是如何確認雲端服務的安全政策與組織的要求一致、如何了解基礎設施的可見度，以及確保雲端服務能夠和既有的資安法規和標準要求接軌等三項議題。 

事實上，雲端安全的相關議題的確突顯了現今的雲端服務，無論是站在使用者的角度要選擇安全可靠的服務提供商，或是站在服務提供商的角度來確保雲端服務的安全性，都迫切需要找到一個彼此認可且具有公正性、代表性的指標，才能作為評估的基礎，而參考雲端安全相關的國際標準，就成為一個最佳的解決方案。

[新知] 智慧城市國際標準 - PAS 181簡介

PAS 181是由英國標準協會(bsi)所撰寫的標準，其中所提出的智慧城市框架(Smart City Framework；SCF)，它提供了實務可用的建議，並且廣泛地反映來自於公部門、私人企業與自願投入者所在領域的最佳實務，主要是為了讓智慧城市的發起人，以及各個部門與層級的領導者，作為建立智慧城市計畫時的參考指南，藉此以促進整個智慧城市的推動。

智慧城市的定義

PAS 181對智慧城市的定義為：「一個有效整合環境中實體、數位與人類的系統，為市民提供一個可持續發展、繁榮、包容性的環境。」

在發展智慧城市的過程中，必須有一個明確的指導方針和策略藍圖，才不會迷失方向。因此，PAS 181提供一個智慧城市框架，作為智慧城市的頂層設計指南，提供給城市管理者參考，它是一個可以被城市管理者與不同部門使用的智慧城市設計指南，主要分為四個部份：「指導方針」、「14個關鍵的城市治理與實施流程」、「效益實現策略」及「關鍵成功要素」。

[新知] ISO 27017 雲端安全國際標準已正式發布

ISO 27017 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) 已正式由ISO組織在2015年12月15日公布。

ISO 27017基本上是採用ISO 27002的控制措施，不過針對雲端安全的部份，它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化和虛擬網路的管理，以及系統管理者的操作安全和雲端服務的監控機制等。

基本上，ISO 27017不是一個獨立可驗證的標準，而是必須以ISO 27001做為基礎，再經由第三方驗證來證明組織同樣也遵循了ISO 27017的要求。

目前，已率先取得ISO 27017證書的是Amazon，包括其位於世界各地的資料中心和所提供的30多項雲端服務，都在驗證評估的範圍內，可說是業界的榜樣了。

[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全

隨著雲端服務已廣泛地受到個人和企業所使用，隱私維護與個人資料保護，更是用戶和雲端服務供應商，雙方都必須要重視的課題。對服務供應商來說，透過自我的安全評估並展現保護個人資料的決心，將有助於提升用戶的信心，也能強化市場的競爭力。 

目前，許多人對於雲端服務仍裹足不前的原因，有很大的一部份是來自於信任的問題，一旦個人或企業將自己擁有的資料上傳至雲端服務之後，就會擔心資料內容是否可能會被竊取或外洩，進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話，萬一遭到不當的揭露與使用，更可能會違反法令法規的要求，除了會造成企業的聲譽受損，很可能還要面對法律的懲處與求償。