員工生產力的提昇,其實就是提高企業競爭力,在這個競爭日益激烈的年代,這一點變得非常重要,而租用雲端服務也就成為企業不得不的選擇,既然無法阻擋這股風潮,如何克服安全疑慮,選擇一個符合需求且可被信賴的雲服務供應商,成為企業最重要的課題。
評估雲服務供應商 成本、合約、功能、安全缺一不可
BSI雲端安全產品經理吳晟熙建議企業,在評估雲服務供應商時,可以引用財務學上的「盡職調查(Due Diligence)」概念。
「盡職調查(Due Diligence)」源自於財務,一般是指在企業進行重大投資、購併交易或上市發行股票前,通常會經過「盡職調查(Due Diligence)」這道程序,由投資者針對目標企業的背景與現況進行調查分析,目的是確保判斷它們對收購與投資收益可能的影響。
吳晟熙指出,將盡職調查概念應用在雲端供應商的評估時,企業要考量的面向除了成本,還有功能是否符合需求,合約/使用手冊是否透明化、充分揭露所有必要訊息,舉例來說,如果將會員資料存放在雲端,就要檢視雲服務合約內有關揭露/保護個資的安控機制,是否符合法規規範。 吳晟熙強調,租用雲端服務意味著,企業將失去部份(或絕大部份)的IT治理能力,因此,必須了解雲服務供應商所提供或使用的資安防禦措施,釐清彼此在資安上的權責範圍,才能確保資料或系統上雲後的安全。
不過,這些資安措施或管理政策大多記載在合約裡,而合約內容又是由雲服務供應商自行撰寫,企業在閱讀合約時很容易流於被動接受,忘了考慮沒有出現在合約條款中的細節,因此,吳晟熙建議企業,可以依據雲服務相關標準如:ISO 27017、ISO 27018、StarAudit等,思考合約內應該記載哪些與資安相關的條款,以此做為檢視雲服務合約的基礎,並判斷雲服務供應商的資安防禦措施是否符合自身的資安標準。
對此,SGS雲服務驗證全球產品經理何星翰也有類似看法。他認為,台灣企業過往的IT採購大多以軟體專案或硬體設備為主,非常清楚服務層級協議(SLA)的規格、需要哪些內容,但是雲端服務是一個全新且截然不同的領域,企業其實不太清楚SLA應該列出哪些項目、如何要求。
以目前雲服務SLA來看,系統可用性是最普遍會出現的項目,但是除了這一項,其他像資安、個資管理、雲服務的反應時間、營運持續管理(BCM)…等,都是可以出現在SLA中的項目,而雲服務供應商通常不會全部寫進去,因此,企業可以借助ISO 19086標準,描繪出雲服務SLA應有的樣貌,進而檢視雲服務供應商的合約,是否包含自己最重視、最符合需求的項目,如此才能強化對雲端服務的信任度,減少使用爭議。
剖析五大雲服務標準
目前與雲服務相關的驗證制度與標準主要有以下五種:ISO 27017、ISO 27018、StarAudit、CSA STAR、ISO 19086。前面4個標準,主要針對雲服務的資安與個資保護措施而設計,其差異性如表1所列,最後一個則是在討論雲服務SLA應有的項目。
ISO 27017:雲端版ISMS
ISO 27017可以比喻成雲端版ISO 27001,它是以ISO 27002為基礎,設計出適用於雲端服務安全控制措施的參考準則(包含建置指引),主要強調雲服務供應商(CSP)與雲服務使用者(CSC)在資安角色上的權責劃分外,因此無論CSP或CSC都能參考ISO 27017來優化雲端安全。 何星翰指出,雖然ISO 27017不是可以被驗證的標準(Guideline standard),但只要經過特殊設計,仍然可以進行驗證,目前許多國際雲服務供應商如:Amazon、微軟、Dropbox,皆已取得ISO 27017的認證。
而世界各國對ISO 27017的驗證也抱持不同態度,舉例來說,日本情報經濟社會推進協會(JIPDEC)計劃在今(2016)年第三季將ISO 27017轉化成驗證標準,台灣則是由各個認證機構(CB)自行發展,而SGS的做法是,結合ISO 27001目標管理循環(PDCA)的概念進行稽核驗證,換句話說,要取得ISO 27017認證之前,必須先導入ISO 27001管理制度。
ISO 27018:保護雲端個資安全
ISO 27018是第一個針對公有雲服務個資保護控制措施所設計的國際標準,它和ISO 27017一樣屬於Guideline standard,但只要經過特殊設計,仍然可以成為驗證標準。
吳晟熙表示,ISO 27018可分成兩個部份,一是參照ISO 27002的資安管理項目,設計出強化個資保護的控制措施,例如:若因測試目的而需使用個人資料時,應實施風險評鑑和採取控制措施將風險降到最低、個人資料處理應符合法規政策及程序…等,一個則是基於ISO 29100隱私權框架而設計出11項追加控制措施,主要談的是個資的蒐集、處理及利用等流程,例如:委外處理個人資料的揭露原則、個人資料返還/傳輸/刪除的方式。
下篇將繼續介紹 另外三大雲服務標準以及產業主管機關管理辦法。