資料中心營運與事故回應處理

未來，隨著個人資料保護法的實施，在資安事故的應變處理將產生更大的挑戰，如果某一資安事故中包含了個人資料的不當存取或遺失，那麼在處理過程中，如何依照法律的要求進行通報，並有效地保護事故處理過程中有關的各項證據，是服務供應商需妥善規劃的項目，這也是用戶在選擇採用服務供應商，評估是否使用雲端服務來處理與個人資料時，不可忽略的重點之一。

資安事故應變處理的建議

在雲端服務的運作過程之中，難免會遇到與資安相關的問題，如果沒有適當的因應作法，很可能就會演變成影響業務運作的重大事故，因此用戶在資安事故的預防溝通與服務供應商的應變處理作法，將會成為風險管理的重要關鍵，以下是雲端運算關鍵領域指南中所提供的實務建議：

1. 無論採用哪一家服務供應商所提供的雲端服務，都必須事先了解其對於資安事件的監控方式與事故處理流程，用戶可要求服務供應商提供並說明其事故處理的應變計畫，以及應變計畫的測試與演練記錄。另外，在服務部署之前，更要清楚的定義哪些屬於一般的事件警示（例如系統效能不足）？哪些屬於需要進行立即處理的事故（例如資料損毀或遣失）？

2. 在一個動態變動的雲端環境之中，對傳統的鑑識行為是一個很大的挑戰，包括設定事故調查的範圍、證據蒐集的方式、保留資料的完整性及確認符合證據力的鑑識過程等。因此在服務合約或服務等級協議中，必須清楚地明訂資安事故的因應處理事項，其中也應包括事故相關記錄的蒐集、檢驗、分析和鑑識報告。

3. 當事故發生時，如何調閱及提供事故相關的記錄是不可或缺的，因為在多租戶的使用環境中，如何分離出與事故有關的資料，並且不侵犯到其他用戶的隱私，在技術面與流程面都是供應商的一項考驗。另外，一旦事故是採取系統回復的方式來處理，那麼事故過程的日誌記錄是否能夠保留並提供調閱，也是需要事先確認的。不過，隨著虛擬化技術的應用增加，在某些層面上，系統的分析與監控是持續運行的，這將會縮短事故發現與回應的時間，而且相關的虛擬映像檔，也可以快速地轉移到其他地點進行保存和檢驗，這對於事故鑑識也會形成一大幫助。

4. 雲端服務用戶對於供應商進行事故調查的參與可能非常有限，尤其是隨著所採用雲端服務的型式不同，針對事故鑑識調查的能力也會有很大的差異。以IaaS服務來說，用戶可在所租用的虛擬主機中，使用鑑識工具進行主機的事故調查，但在基礎設施如網路、儲存設備的記錄調閱方面，就有賴於服務供應商的協助；至於PaaS和SaaS的調查，因涵蓋了應用平台的API介面與應用程式的運作部署，相關的記錄更需要依賴服務供應商的大力支援，才有辦法判定可能的事故原因是位於哪一層面（例如有缺陷的API或應用程式的漏洞），因此用戶與服務供應商更需要緊密的配合才行。

5. 事先了解有哪些服務運作記錄將會被留存和其所保存的期限，相關日誌記錄的範圍可能包括網路系統、安全設備、應用程式、系統管理員登入與存取、備份與還原、組態變更、系統效能、系統錯誤訊息等。同時，用戶也必須了解服務供應商是否有防止竄改的安全措施（例如加密），以確保記錄的有效性。