雲服務可以降低成本又具有彈性,是吸引企業採用的原因之一,但是伴隨雲端服務而來的安全問題,又常常令企業對雲服務感到怯步,為此,雲端安全聯盟(CSA, Cloud Security Alliance)積極推動OCF開放式認證框架,針對雲端服務供應商提供一個安全認證標準。
雲端安全聯盟亞太區總經理張潤才表示,OCF是在ISO 27001的認證基礎上,整合CSA的雲控制矩陣(CCM, Cloud Control Martix)要求,目前CCM共有148項安全要求,如:資料外洩防護措施、登入機制…等,藉此確保雲服務的安全性。不過美國因為金融風暴的緣故,對於安全有不同法規要求,因此美國OCF是以SOC 2(Service Organization Controls 2)為基礎。
OCF分為3層式架構,Level 1為自我評估,由雲服務供應商自我評估是否符合CSA的檢合項目,Level 2則結合第三方組織進行外部稽核(目前以BSI為主),Level 3則是取得認證後的持續維運,由CSA定期對取得認證的雲服務供應商進行稽核。雲端安全聯盟CSA台灣區會長指出,如同銀行有PCI-DSS安全規範一樣,雲端服務供應商也需要有類似的安全認證。
林鴻源進一步表示,OCF還未正式運作,目前正在全球各區域遴選1~2家企業參與先導計劃,預計今(2013)年9月前會完成Level 2的認證,並會在CSA歐洲年會時正式公佈,至於Level 3則計劃在2014年公佈。
目前參與先導計畫的雲端服務供應商,在亞太地區包括阿里巴巴以及新北市政府,歐美地區則有Verizon以及法國電信等,新北市政府研究發展考核委員會主任委員吳肇銘指出,政府開放的資料越來越多,安全也就變得越來越重要,未來包括公務雲(提供予公務員使用)、服務雲(提供予民眾使用)、及開放資料平台(僅提供資料交換)都將導入OCF認證,讓雲端服務能夠在安全與便利間取得平衡點。