https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

歐洲雲服務聯盟星級驗證 報導

2017 / 11 / 15
吳佳翰、廖柏侖、宋子莉
歐洲雲服務聯盟星級驗證 報導

接續上一篇《雲端服務逐漸普及並成為主流》,我們接下來介紹歐洲雲服務聯盟星級驗證(EuroCloud Star Audit)

歐洲雲服務聯盟星級驗證(EuroCloud Star Audit)
ECSA(EuroCloud Star Audit)是歐洲雲服務聯盟EuroCloud Euro (ECE)所制訂的雲服務星級驗證制度,為歐盟技術小組DG Connect(European Commission Directorate General for Communications Networks, Content & Technology)官方認可之雲服務第三方驗證標準。該驗證之目的在於透過驗證雲端服務供應商資訊安全管理能力,建立雲服務提供者及其客戶或使用之間的信賴機制。ECSA評鑑之領域不僅只關注資訊安全,其涵蓋面向包含資訊安全與隱私保護、雲服務維運流程、合約與法規遵循、機房與資料中心基礎設施維運作業以及雲端服務之應用五大領域,如下圖所示:

ECSA涵蓋管理面向包含資訊服務管理、資訊安全、營運持續管理,重視各領域之均衡發展,此驗證機制之特色在於從雲端服務的觀點出發,重視合約之審查,並以服務水準協議(Service Level Agreement;SLA)為雲服務管理最大目標。此驗證制度適用於各類雲服務提供商,不受此服務規模之限制。驗證制度將雲服務提供者的服務等級分級分為一星至五星,其中一星與二星為驗證之基本要求,而三星至五星則依據雲服務供應商之控管成熟度給予不同星級之評比,以提供雲端服務使用者可以依據星級評鑑選擇最適切的雲服務。


服務組織控制評估報告(Service Organization Controls Report,SOC Report)
除了透過國際準之驗證外,目前包含Amazon Web Services、Google Apps、Microsoft Windows Azure各大雲端服務提供者亦透過獨立第三方稽核所出具的SOC報告展現其合規遵循之情況,以主動向使用者說明雲端服務安全性的控制現況。SOC Report為美國會計師協會(AICPA)所訂定之報告形式,AICPA於2011年正式提出三種不同目的之報告形式SOC1、SOC2與SOC3,目的在於協助服務使用機構透過獨立會計師審查之報告,了解服務組織所提供服務之安全控管程度及有效性,以建立使用者或相關利害關係團體之信心。以雲端資訊服務業者為例,雲端資訊服務業者受客戶委託提供資訊服務,作為服務供應商雲端資訊服務業者可經由SOC Report說明雲端資訊作業安全管理程度及確認所遵循之相關控管水準,並可進一步依據不同監理機構之資訊安全要求(如CSA、NIST及 ENISA等雲端安全要求),闡述其所提供資訊服務之安全控制現況。藉由外部稽核的評估意見,讓管理階層、使用者瞭解管理現況,進而可更安心使用雲端服務。

比較各類SOC報告,SOC1主要針對提供財務相關資訊系統服務之供應商,其基礎為SSAE16;而SOC2、SOC3則偏向資訊系統確認性服務的意見報告,例如針對第三方服務供應商資訊安全控制情況提出評估意見,兩者的評估準則皆以AICPA/CICA所發布的Trust Services Principles and Criteria報告為主,但在報告內容與對象方面仍有差異,依查核範圍及運用方式的不同,可分為三種類型,詳如下表所示: 

 

報告類型

SOC 1

SOC 2

SOC 3

參考標準

ISAE3402/SSAE16

TSP 100

TSP 100

查核範圍

需與財務報表有關的流程或系統

任何與安全、可用性、程式完整性、機密性、隱私有關的控制措施

任何與安全、可用性、程式完整性、機密性、隱私有關的控制措施

報告結果可提供對象

1.Service organization高階管理階層

2.User entities

3.User entities財務審計員

1.Service organization高階管理階層

2.User entities

3.其他利害關係團體

 

一般社會大眾

 

適用對象

被客戶要求或當地主管機關要求之組織

1.被客戶要求或當地主管機關要求之組織

2.提供資訊服務予大量客戶之組織(如:資訊服務提供商、IDC機房、雲端服務提供商等)

 



TSP Section100為SOC2、SOC3報告所應遵循之確信準則(Trust Services Principles and Criteria),主要控制領域為資訊安全安控標準(Security),並有四項附加標準,分別為:可用性(Availability)、保密性(Confidentiality)、完整性(Processing Integrity)、隱私原則(Privacy),組合成SOC的控制框架,如下圖所示: 
  



SOC2評估程序包含控制成熟度分析、確立基準、瞭解內部控制現狀、瞭解服務組織需特別關注之領域,以及控制活動測試與驗證五大步驟,透過相關步驟之實施做出SOC評估報告。又依據查核期間的不同,SOC評估報告可再區分Type1與Type2為二種形式,如下表:

報告類型

TYPE 1

TYPE 2

查核期間

一個時間點的報告

一段時間的報告,一般而言評估期間不可少於 6個月

報告特點

僅確認設計與實施的情況,不做控制點有效性測試,以提供控制說明予閱讀報告者為目的

除確認設計與實施的情況,尚須透過抽樣檢視控制點實施的有效性,強調可提供實做的證據予閱讀報告者

適用對象

查核範圍為新上線之流程或系統

查核範圍為已運行一段時間以上之流程或系統


雲端服務風險與對策
面對雲端服務所帶來的資安風險,是雲端服務提供商與服務使用之企業需共同承擔之責任,服務組織控制評估報告(Service Organization Control Report,SOC Report)建立了服務提供商與服務使用者之間的信賴感,並輔以雲端資訊安全國際標準(如:CSA STAR、Euro Cloud與ISO國際標準)之要求,以確保雙方對於雲端服務的安全控制措施之作業規範的基準,並釐清雲端服務雙方的權利與義務。依據雲端服務架構之不同,雲端安全責任模型如下圖所示:



企業需瞭解使用者所應承擔之風險與責任,以藉由合約規範雲端服務商與企業雙方的權利與義務,包含服務水準協議(Service Level Agreement;SLA)、資料保護與移轉限制、各類稽核軌跡提供、數位鑑識取證調查配合、司法管轄權、服務報告、計價機制、營運持續要求、委外廠商管理、罰則;而雲端服務提供商應積極配合企業在資訊安全之需求建立其相關資訊安全治理之規範,並承諾與確保資料的處理與保護機制,以符合企業之期待。

作者介紹:
本文作者目前分別任職於:
吳佳翰 - 勤業眾信聯合會計師事務所 執行副總經理、
廖柏侖 - 勤業眾信聯合會計師事務所 經理
宋子莉 - 勤業眾信聯合會計師事務所 經理