雲端服務安全管理

EuroCloud Star Audit 雲服務星級驗證制度

CSA 雲端安全聯盟 STAR 驗證

ISO 27017 雲端服務資訊安全管理

ISO 27018 雲端服務個人資料保護

雲端資安管理介紹

雲端運算備受各行各業的肯定，卻也存在著安全隱憂。因網路攻擊導致的雲端安全問題，使企業可能因為服務中斷、惡意程式植入、資料庫資料遺失，造成企業營業損失及商譽受損等負面影響。要兼顧資安防線及與日俱增的網路安全威脅，需具備雲端服務安全管理技術。
雲端資安管理亦即雲端服務安全管理的系統與驗證，適合各種類型、規模的雲端服務提供商，包括：基礎架構服務（IaaS）、平台服務（PaaS）、軟體服務（SaaS）或使用客戶（即租用商），透過雲端服務驗證制度及國際標準，包括：Star Audit、CSA STAR、ISO 27017、ISO 27018，可作為雲服務發展的自我評估，或是選擇雲服務供應商的最佳參照。

雲端資安對企業的重要性為何？

雲端資安對於企業營運的重要性日漸攀升，有越來越多的企業認為必須有效落實雲端資安管理，才能確保組織營運持續不中斷、降低被攻擊或個資外洩的風險、提升並保持競爭優勢、強化企業未來營運藍圖等。基於上述原因，促使企業日益重視雲端服務安全管理，避免企業因資安威脅蒙受經濟損失、商譽受損、機密外洩等商業風險。

EuroCloud Star Audit 雲服務星級驗證制度

由歐洲雲服務聯盟（EuroCloud Euro, ECE）領銜推廣的雲端服務驗證制度，具備「成熟度星級」機制，成為企業在自我評估或是選擇雲服務廠商時的最佳參照。制度內容援引所有與雲服務相關的國際標準，全面地展現雲服務的品質與能力，針對雲服務的3種服務模式客製化訂定管理要求，涵蓋軟體即服務（SaaS）、
平台即服務（PaaS）、基礎建設即服務（IaaS），同時，也是全球首個搭配完整「線上自我評鑑工具」的雲服務驗證體系。

CSA 雲端安全聯盟 STAR 驗證

由美國雲端安全聯盟（Cloud Security Alliance, CSA）以國際標準 ISO 27002 為基礎推出的雲端運算環境下最佳的安全方案，具備「成熟度評分」機制，藉由 16 個控制領域、133 個控制要求，高度規範雲端運算環境下的各個資訊安全層面與環節，為企業在自我評估、雲服務發展或是選擇雲服務廠商時的最佳參照。

ISO 27017 雲端服務資訊安全管理

全球首個針對雲端運算產業資訊安全管理的 ISO 國際標準，基於 ISO/EC 27002 專為雲端服務發展之資訊安全控制措施作業規範。首創針對雲端服務的「提供者（Provider）」和「使用客戶（Customer）」分別提出一系列控制要求與實作指引；另外針對 ISO 27001 為基準新增 7 項雲端服務特有的控制要求。

ISO 27018 雲端服務個人資料保護

首個針對公有雲的國際性隱私標準，基於 ISO/IEC 27002 專為雲端服務環境中之個人資料保護發展之控制措施規範與實作指引。針對雲服務中的個資處理者（PII Processor），提出 16 項雲服務個資保護延伸要求，
援引「ISO/IEC 29100 隱私管理架構」的 11 項隱私保護原則，提出 25 項新增控制要求與實作指引。

如何選擇標準與有效管理？

將雲端防護自動化
企業在建構雲端策略時，應盡可能實現自動化安全防護，才可讓資安團隊跟上快速的應用程式開發，有效降低管理複雜度及雲端資安風險。
盡早釐清法規遵循的要求
企業踏入雲端之前應先設定好想要藉由上雲達成何種目標和目的，這些目標和目的須符合相關法規的限制。在法規遵循的要求下，企業才能確保其部署環境符合資安最佳實務原則；而在企業治理的引導下，員工才能走在正確的方向達成其目標和目的。
讓員工學習新技能
資安人員必須不斷學習充實對資安攻擊的手法與掌握最新趨勢，才能知道如何做好防護對策，提供雲端資安全方位的解決方案。

面向	StarAudit	CSA STAR	ISO 27017	ISO 27018
標準	驗證制度	驗證制度	特殊設計後可驗證	特殊設計後可驗證
涵蓋管理面向	Cloud ISMS / SMS / BCMS	Cloud ISMS	Cloud ISMS	Cloud PIMS
查核強度	強 (SMS / BCM)	強 (ISMS)	中	中
特色	針對不同雲模式服務商 (IaaS, PaaS, SaaS) 各有不同查檢表	雲服務安全控制矩陣強度高，與產品及 Solution 具關聯性	增加雲服務特有安全控制措施，可同時供 CSP 及 CSC 參考	增加公有雲服務個資保護安全控制措施
成熟度評估機制	3 星、4星、5星	1 ~ 15 分	與 ISO 27001 驗證制度相同	與 ISO 27001 驗證制度相同