隨著科技的進步,傳統的商業模式和服務,時至今日已經逐漸轉型,透過高度資訊化和方便的網路連結,讓各項交易和服務能夠以更即時的方式來運作。目前,應用雲端運算的強大資源,資訊服務也能夠以更有效率且節約成本的方式,傳遞給不分國界的使用者。
5. 公開、透明及告知
這項要求的控制措施是「A.7.1 委外PII處理的揭露」,它規範了公有雲業者若是採用分包商來處理個資時,需要在採用之前向相關的雲端服務客戶說明採用的方式和委外的情況。
6. 可歸責性
這項要求的控制措施,包括了「A.9.1 通知涉及PII的洩漏」、「A.9.2 管理的安全政策及指引的保存期間」及「A.9.3 PII的返還、傳輸及汰除」,主要是要求公有雲業者在任何未經授權存取個資,或是發生個資遺失、洩露或竄改時,應及時地通知相關的雲端服務客戶。另外,業者還需要保存服務提供期間的安全政策和作業程序副本,並在定期地更新,而且需要說明有關個資的返還、傳輸及汰除的政策內容,讓雲端服務客戶可以了解其作業方式。
7. 資訊安全
在資訊安全的要求方面,所要求的控制措施是最多的,包括了「A.10.1 機密性或保密協議」、「A.10.2 建立實體資料的限制」、「A.10.3 資料還原的控制和記錄」、「A.10.4 保護離開場所的儲存媒體上的資料」、「A.10.5 未加密可攜式媒體和裝置的使用」、「A.10.6 PII透過公眾網路傳輸的加密」、「A.10.7 實體資料的安全汰除」、「A.10.8 獨特的使用者ID」、「A.10.9 經授權使用者的記錄」、「A.10.10 使用者ID管理」、「A.10.11 合約措施」、「A.10.12 委外PII處理」,以及「A.10.13 先前使用的資料儲存空間上的資料存取」。
首先是保密的要求,對於有能力可以存取個資的工作人員,需具有保密的義務;針對個資方面,如果創建產生可顯示個資的實體文件,則需要受到限制;當業者進行資料還原時,需要記錄還原過程的程序和記錄;含有個資的儲存媒體,如磁碟、磁帶、光碟等需離開組織場所時,要經過適當授權和保護,而未加密的儲存媒體或可攜式裝置原則上是不該被使用的,若是在不可避免的情況下,則需要留下記錄。
另外,在透過公眾網路傳輸個資時,資料在傳輸前需經過加密處理,實體資料若需要汰除,應採取安全的機制,像是交叉切割、焚燒或水銷等方式銷毀;業者內部需要存取個資的工作人員,都要使用唯一的識別帳號以適當的區隔和授權,並且記錄使用者的活動概況,如果是已停用或過期的帳號,則不應再指派給其他人員使用。
而在合約方面,應明確說明所採取的安全措施,以確保資料不會被目的以外的方式進行處理;需要進行分包處理時,也應明確說明相關的處理程序和個資保護責任;因為雲端服務共同資源的特性,若先前使用過的資料儲存空間,要重新分配給其他用戶時,也要確保先前儲存的資料是不可見的。
8. 隱私遵循
這項要求的控制措施,包括了「A.11.1 個人資料的地理位置」和「A.11.2 個人資料的預期目的地」,由於雲端服務跨國的特性,主要是規範業者需明確說明,個資可能會被儲存在哪些國家。另外,若是透過網路來傳輸個資,也需要採取適當控制措施來確保資料可到達其預定的目的地。
以標準做法和國際服務要求接軌
ISO/IEC 27018是全世界第一個針對雲端服務提供商如何在公有雲上保護個人資料的國際標準,已順利通過ISO/IEC 27018的雲端服務提供商,可以宣告基於此國際標準的要求,對於雲端服務上個人資料的蒐集、處理、利用或傳輸等,已經受到適當有效的安全保護。
目前,已經通過驗證的雲端服務提供商,包括了微軟的Azure和Office 365、Amazon的AWS、Google、Dropbox、Box.com、香港的Ribose、日本的HDE和TKC、韓國的NAVER Business Platform Corp.等業者,期許台灣的雲端服務提供商,也能參考此一國際標準的要求,及早取得證書來和國際業界接軌。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>