2013-10-18

在雲端控制矩陣中的第五項「資訊安全」，它是整體雲端服務的管理重點，一共包含了34個控制措施。在這些控制措施之中，從高階管理階層的要求開始，同時也兼顧了技術面的安全要求，因此它能夠協助組織建立整體的資安管理架構，以強化所提供雲端服務的資訊安全，以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。

2013-09-25

在雲端控制矩陣之中，擁有最多項控制要求的控制區域，無庸置疑的就是第五項「資訊安全」，在這裡一共包含了34個控制措施。在這些控制措施之中，從高階管理階層的要求開始，一路走到了技術面的安全要求，基本上已涵蓋了組織整體的資訊安全管理架構，分別說明如下。

2013-08-15

上次介紹了雲端控制矩陣針對法規遵循與資料治理的要求，並一一說明了對應的安全控制措施，接下來將繼續說明控制區域中的第三項設備場所安全，以及第四項人力資源安全的各項控制做法。

2013-07-18

如果想了解雲端服務供應商的安全水準，藉由雲端安全聯盟所提出的雲端開放認證架構，可以作為在選擇服務廠商時的參考。因此，對於廠商而言，確實了解雲端控制矩陣的要求，並且回應已實施的安全控制措施，就顯得十分重要。

2013-06-26

隨著雲端服務的迅速發展，無論是SaaS、PaaS、IaaS服務，各種雲端服務供應商都提供了消費者方便彈性、隨需可用的雲端服務，只是在眾多服務的背後，您是否了解廠商對於資安控管和安全責任的要求？是否可以安心地採用雲端服務呢？

2013-06-07

上一次我們談到了許多和個人隱私有關的事項，雖然同屬於個人資料，但是在不同行業之間，隨著所適用的法規和客戶的期許不同，對個人資料的保護要求也有所差異，本文則將從評估個人資料的價值談起，探討適用於個資的安全控制措施。

2013-05-27

面對雲端運算和其衍生的各項創新服務，站在使用者的角度，我們必須先了解雲端先天的限制與部署的架構，才能讓它的應用符合自身的需求，同時也要明瞭可能潛藏的安全風險，才能進一步有效地駕馭它，使雲端運算成為營運發展的好幫手。本系列文章以雲端安全聯盟（CSA）於2011年11月發佈的《雲端運算關鍵領域安全指南》最新v3.0版為基礎，針對雲端運算安全議題所涵蓋的三大部份、十四個領域，逐一闡述說明，帶領讀者一窺雲端安全的全貌。

2013-04-16

在個資保護與隱私維護方面，各行各業大致上遵循著一些共通的規範原則，但因為不同行業仍有著各自的特性，所以對隱私保護的要求也有所不同，本文將探討包括醫療、金融、電子商務、電信及人力派遣等不同行業對個人資料應有的保護要求。

2013-03-19

雖然隱私的維護要求並沒有國界之分，但各國對於隱私維護所制訂的法規卻有所不同，因此在個資保護方面，也必須依照不同國家的法律規定，評估可能面臨的最大風險，再來實施相對應的控制措施。

2013-02-25

隨著個人資料保護法的實施，個資保護已成為政府與企業不得不進行的重要工作之一，但是在立法的精神之中，除了強調個資保護責任，隱私維護更是不可或缺的重要支柱，如果無法維護個人隱私，也就意謂著個資保護一定不夠周全。

2013-01-16

隨著個人資料保護法的正式上路，身為資訊人員的您，除非本身具有法律背景，否則面對多如牛毛的法條與施行細則，在日常的IT維運中是否真能派上用場，若心中還是存疑的話，或許就該尋求其他的因應之道了。

2012-12-19

上一次探討了雲端服務的身分驗證，提到目前許多雲端服務綁定的都是使用者的帳號，如果沒有實施強健的安全機制，一旦帳號被挾持，就會產生嚴重的安全問題，本期將說明此系列文章的最後一個單元，說明雲端運算採用虛擬化技術的安全風險和透過雲端所提供的安全服務。

2012-11-27

上一期我們談到了雲端資料加密與金鑰管理的部署重點，需要考量資料所在的位置及傳輸方式，作為選擇對應加密措施的基礎。至於在金鑰的管控方面，針對生命週期中的各個階段，金鑰本身同樣也需要實施適當的保護與備援機制，本期將說明有關雲端身分驗證與存取管理的重點。

2012-11-14

上一期談到了雲端環境對應用程式部署的影響，我們需要考量資料控制、資源共享和法規問題所可能帶來的風險，更應確保一開始在軟體開發生命週期中，已將安全問題納入成為檢測的重點之一，本期將探討雲端資料加密與金鑰管理。

2012-10-19

上一期說明了資料中心的營運重點，包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求，也提到了必須要求服務供應商在發生資安事故時進行通報，並依照事前所擬定的應變流程進行處理，同時也要保留相關的記錄作為事故檢討，本期將探討在雲端之上的應用程式安全。

2012-09-14

上一期說明了傳統的實體環境安全、營運持續計畫和災難復原，與雲端運算之間所具有的緊密關係，這些傳統的資安問題，仍然會深深地影響雲端服務的佈署與運作，接下來本期將要說明資料中心營運與資安事故的處理與因應事項。

2012-08-29

上一期我們說明了關於雲端服務的相互運作與可移植性，這是屬於雲端治理部分的最後一項安全領域，接下來將解說雲端營運的部分，會牽涉到許多的技術性安全議題，這也是大多數組織較為重視的地方，和IT單位也會有更密切的關係。

2012-07-30

上期提到針對資料一旦存放至雲端之後，應該要考量的資料安全風險和所需的控制措施，本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」，說明一旦需要更換雲端服務供應商時，實務上要注意的建議與做法。

2012-06-15

在雲端之上想要探討可能的安全風險，最好的切入點是從找出和雲端有關的資產著手，再來分析它可能面臨的威脅和本身所具有的弱點。其中，有一項無法忽略的資產，就是與雲端服務有關的資料，本期將探討雲端服務與資料安全的重要性。

2012-05-22

上一期我們談到了雲端運算的法律問題與電子證據的採集提供，對大多數由第三方所提供並且跨越國界的雲端服務而言，法律議題將會是一大挑戰。因此，為了符合法規的要求，實施稽核將是一項必要的做法，本期將探討雲端的法規遵循事項與安全稽核建議。