ISO/IEC 27017 雲端運算 資訊安全

導入ISO/IEC 27017標準 給雲端服務國際級安全性

2017-01-13
雲端運算可無限擴展延伸的特性,已吸引了眾多組織的採納和運用,但是從資訊安全的角度來看,無論是大型的跨國企業像是Amazon和Google,或是單一國家或地區的中小型公司,包括雲端服務提供商和客戶雙方,都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。
依據2016年11月由雲端安全聯盟和EY China所聯合發表針對金融服務產業的研究報告指出,47.9%的金融服務組織目前正在規劃和雲端有關的策略,但也有54.2%的組織指出,目前內部尚未針對雲端服務的資料安全定義需要遵循的法規。另外,37.5%的受訪者認為目前最大的雲端威脅,來自於管理階層缺少雲端安全管理的領導力,其主要原因是管理階層對於雲端安全的規範缺少了解和重視。

關於雲端服務的資安管理,除了可參考廣泛適用的ISO/IEC 27001標準之外,在國際標準方面,ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引,更提供了針對雲端服務的額外安全控制措施。

ISO/IEC 27017標準適用於所有類型和規模大小的組織,無論是自建的雲端服務或是透過購買所獲得的雲端服務,以及雲端服務提供商本身,皆可以透過此一標準的指引,強化所提供或者是所使用的雲端服務的安全。


▲ISO/IEC 27017是雲端安全的最佳指南。

導入ISO/IEC 27017所帶來的優勢

根據研究調查指出,有五成的組織其實不太清楚他們所採用的雲端服務提供商,到底是如何去監控和保護其雲端上的相關資料。雲端服務某種程度上其實是一種委外關係,好的商業關係來自於所提供服務的透明性,讓兩造雙方有足夠的理解和信任,彼此能夠各取所需,而ISO/IEC 27017能夠幫助雙方清楚地定義雲端服務提供商和雲端服務客戶之間的責任,避免可能在服務過程中所產生的歧見,導致服務窒礙難行。

一般而言,藉由導入ISO/IEC 27017標準,對於雲端服務提供商和使用服務的客戶所帶來的好處包括了:

·增加客戶對服務的信任度:對客戶和利害關係人提供更多的保障,特別是針對資料的保護,雲端服務客戶可以要求雲端服務提供商提供安全功能及其說明,以確認是否符合使用者的安全需求與期望。

·強化市場的競爭力:雲端服務提供商可針對雲端服務的資料安全,展現強而有力的控制措施。

·保護品牌和商譽:降低可能因為使用雲端服務發生資料外洩事件,導致對於組織商譽的傷害和品牌的影響。

·強化組織安全和減少風險:藉由使用雲端服務提供商所提供的安全功能,雲端服務客戶可以間接強化其系統或服務的安全性,並且確保所識別出來的風險,已經受到適當地管理,降低可能影響組織營運的衝擊。

·擴展業務的商機:雲端服務並沒有疆域的限制,在全球的市場,雲端服務提供商都可藉此展現標準化的資安管控機制,以滿足不同國家的雲端服務客戶需求。

雲端服務專屬的控制措施

ISO/IEC 27017標準除了引用37個來自於ISO/IEC 27002的控制措施,並且還額外提供了7個專門針對雲端服務的安全控制措施,以下是這些專屬控制措施的簡要說明。

CLD.6.3.1 在雲端運算環境內共享的角色和責任

針對內部組織的管理,ISO/IEC 27017增加了「CLD.6.3.1 在雲端運算環境內共享的角色和責任」這項控制措施,主要是為了釐清在雲端服務中,雲端服務供應商和雲端服務客戶雙方的責任。

在過去,對許多採用廠商所提供服務的客戶而言,往往會認為相關的安全責任,在支付了費用之後,應該都要由廠商來處理和負責。但事實上,由於雲端服務的共享特性,使用雲端服務的客戶也具有一定的安全責任。

以這項控制措施為例,對於雲端服務提供商的要求為應透過書面化的協議方式,載明在提供服務的過程和雲端中,所參與的各方之角色與責任,包括了服務提供商、服務提供商所採用的軟硬體供應商,以及使用雲端服務之客戶等。

同時,如果屬於跨國提供的雲端服務,也需要主動告知客戶有關其資料可能儲存的國家或地理位置。

站在雲端服務客戶的角度來看,雲端服務其實也是內部資訊服務的延伸,所以此一控制措施要求雲端服務客戶需要評估現有的資安政策和程序是否同樣可適用於雲端服務,同時還需要了解雲端服務提供商能提供的支援和連繫方式,並且識別和提供或使用雲端服務時有關的權責機關,像是目的事業主管機關或地方政府的主管單位等。

CLD.8.1.5 雲端服務客戶資產的移除

許多雲端服務的使用者擔心,一旦結束服務服務的合約之後,相關資料的歸屬該如何去認定?

從標準的控制措施要求來看,在資產管理方面,服務提供商除了以資產清冊來載明雲端服務的客戶資料和透過雲端服務所獲取的資料外,也需要在服務協議中說明一旦合約中止時,客戶資產的返還和移除方式。

相對地,雲端服務的客戶一開始也需要以文件化的方式,要求服務提供商敘述在終止服務時的作業流程,清楚了解有關資訊資產後續的處理方式。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!