評估雲端服務安全性 就從認識國際標準開始

ISO/IEC 27018是在2014年正式公佈，也是第一個為公有雲上的個人資料保護，所提供可驗證的國際標準，對服務提供商而言，可以作為雲端個資管理的作業規範，實施其所要求的控制措施，藉此消除使用者對雲端服務處理個資的不信任感，也可解決其所關切的個資保護相關議題。

ISO/IEC 27018採用了延伸自ISO/IEC 27001的16個控制措施，並且再加上16個延伸自ISO/IEC 29100隱私保護框架的控制措施，在標準中特別規範了在公有雲環境的個人可識別資訊的處理者，依據相關協議或合約要求處理個人資料時應遵循的作業要求。

ISO/IEC 27018主要的目的就是為了要協助雲端服務使用者和提供商之間的協議契約化，要求服務提供商確實遵守法規和合約的要求，使雲端服務的相關事項更加透明，以達成公有雲上個資保護的目標。

▲圖2 雲端安全國際標準驗證方案與準則。

ISO/IEC 27018本身的獨特性在於讓服務提供商在提供雲端服務前，就能夠在合約或協議中透明地呈現其所提供的雲端服務，有關個人資料保護的機制，例如：清楚說明處理個人資料的目的、個資留存的期間、委外作業處理的方式，以及所實施的隱私保護措施等。

而在提供雲端服務的期間，也讓使用者有能力可控制自身的資料，同時依據合約要求不會將個資用於行銷用途，並且記錄任何對於使用者個人資料的異動，主動將這些異動資訊提供給使用者確認。萬一真的發生相關的資料外洩或需揭露資料給第三方時，提供及時通知的機制，並且記錄任何來自於主管機關或法院要求，依法定義務或責任需揭露的個人資料。

ISO/IEC 27001仍是雲端安全的基礎

目前，這三個雲端服務國際標準，驗證的前提是要先取得ISO/IEC 27001的認證，並且涵蓋所使用或提供雲端服務的範圍。三個標準的主要差異在於，CSA STAR的驗證對象是雲端服務提供商，確認其有足夠的能力來管理雲端服務的資訊安全，而ISO/IEC 27017的驗證對象則不限，適用於各行各業包括雲端服務的使用者和提供商，都可以藉由導入這個標準的要求，來強化雲端服務的控制措施，達到風險管理的目標。

最後，ISO/IEC 27018的驗證對象則是公有雲雲端服務的提供商，目的是要強化公有雲上的個人資料管理與隱私保護，以確保使用者利用雲端服務所處理的個人資料，都能獲得適當的安全控管。

所以，從雲端服務使用者的角度而言，除了自己可以導入ISO/IEC 27017雲端服務的安全控制措施之外，在選擇雲端服務提供商的時候，也可以將是否已取得CSA STAR、ISO/IEC 27017和ISO/IEC 27018認證的廠商，作為最佳的評選依據。

而從雲端服務提供商的角度來看，主動積極地取得雲端服務國際標準的認證，對於取得使用者的信任，以及強化市場的競爭力，都會產生大大加分的效果，實務上也可以讓服務本身的資安管理機制正式和國際接軌，以滿足不同國家使用者的資安要求。

＜本文作者：花俊傑，現為bsi英國標準協會客戶經理，擁有BS 10012、ISO/IEC 27001、ISO/IEC 29100、ISO/IEC 27018 主導稽核員資格，自詡為資安傳教士，樂於分享資安心得。＞