注意法律與作業管理 雲端風險管理是重要關鍵

因應雲端服務法律議題

雲端控制矩陣中，有關法律議題包括LG-01保密協議以及LG-02第三方協議兩項控制措施：

LG-01 保密協議

對雲端服務供應商而言，為客戶所提供的各項雲端服務，資訊安全肯定是客戶會關注的重要問題，尤其是服務內容所涵蓋的項目，若是包括了重要資料的儲存和處理，那麼可能接觸到這些資料的人員，就需要擁有足夠的安全意識與技能，才可妥善地確保資料的安全。這項控制措施是要求針對組織中需要受到保護的，或是與營運相關的資訊，應該被識別並採取文件化的紀錄，同時也要求相關人員必須簽署保密協議，並且定期地進行審查。針對保密協議的簽署，在ISO 27001標準中，可參照「A.6.1.5 機密性協議」之要求，對於敏感性的職務工作，可以由法務部門會同人事部門，制訂保密政策和程序，據此要求人員簽署保密協議。但協議內容必須能夠反映內部資安政策的要求，因此也要配合定期審查對各項資訊保護的要求，再將其更新至保密協議的內容之中。

LG-02 第三方協議

如果所提供的雲端服務，需要依靠第三方所提供的資源或技術協助，那麼與第三方所協議的相關內容，就會直接或間接地影響雲端服務供應商的營運。因此，有關資訊的處理、存取、傳輸、儲存以及資產和服務的管理與終止等，在協議內容中就要包括資訊安全要求與資訊的完整性控制，以避免資訊受到不當的揭露、竄改及損毀。對此，可以參考ISO 27001附錄「A.6.2.3 第三方協議中的安全說明」之要求，也就是在與第三方所簽定的協議與合約之中，必須明訂組織的資訊安全要求、應遵守的相關法規，以及在違反時應負的法律責任等。

規劃進行雲端作業管理

雲端服務的運作，有賴組織中各個階層人員的參與，包括由管理階層來制訂相關政策與程序，透過雲端服務小組的協同運作，技術人員規劃資源運用與設備的維護等，這些都需要有效的作業辦法，才能滿足客戶需求，並且達到營運目標。在雲端控制矩陣之中，對於雲端服務的作業管理，也提出了以下幾項的控制要求。

OP-01 作業管理之政策

實務方面，在雲端服務尚未運作之前，管理階層應會同人事部門，針對雲端服務所需的作業人員，定義其工作角色與執掌，並且確認此項工作所需的專業技能、工作經驗與人格特質，以便招募所需的作業人員。在標準方面，可以參照ISO 27001附錄5.1所提到的兩項控制措施，如A.5.1.1要求資訊安全政策應經由管理階層的核准，並且公布傳達讓所有員工和相關的內外部團體知道，實作方面，在這份資訊安全政策中，除了傳達管理階層對於資訊安全的支持，確保資訊安全與組織營運目標的一致性之外，也需要說明資安的重要性與實施範圍，以及相關人員的職責。A.5.1.2則是要求資訊安全政策若發生重大變更時，也需要進行審查，以確保內容持續地適用充分和有效，因此這份政策必須配合雲端服務的環境、業務型態、法律合約要求和技術更新等事項，進行持續的修訂與發行。

OP-02 作業管理之文件化要求

在作業管理中，所謂的標準作業程序（SOP），是指有正式的文件化紀錄，並且經過管理階層審查核可的內容，才能用於實際的作業環境。所以在雲端服務之中，有關系統組態、安裝與操作，還有所包括的安全功能與管理員的操作指引、系統架構圖等相關文件，都應採取文件化方式建立起來，並且交付給已被授權的作業人員，根據此一標準作業程序來進行各項工作。針對這項要求，可參照ISO 27001附錄「A.10.1.1 文件化作業程序」，只要是與資訊系統活動和作業有關的程序，包括通訊設施的使用、電腦開機與關機、備份方式、資訊設備維護、資訊儲存媒體使用和機房作業管理等，都以文件化方式來呈現，並且讓相關人員在需要的時候即可馬上取得，以便遵照其要求的標準作業程序來進行。

OP-03 容量與資源之規劃

這個控制措施是要求針對各項資源的可用性、品質及所需的容量，依照法規、合約與業務要求來實施規劃與量測，同時也要考量有足夠的能力，因應未來服務系統可能過載的風險。對此，在ISO 27001附錄「A.10.3.1 容量管理」中提到，管理人員需要預作規劃準備，評估未來可能成長的資料量，來添購所需的儲存媒體和設備，以避免因為容量不足的問題而導致系統服務的中斷。

OP-04 設備裝置維護

這個控制措施要求雲端服務供應商對於設備裝置的維護，需要建立政策與程序，以確保各項服務作業的持續與可用性。在實務方面，可以依據ISO 27001附錄「A.9.2.4 設備維護」，要求相關的資訊設備應定期自行維護或尋求廠商協助，相關的維護也需要留下適當的紀錄，以便定期地進行追蹤查核。而實施維護的外部人員，應該事先經過申請與核准，在實際作業時也要有適當的人員來陪同。