禁漫天堂

谢君豪│英國标準協會台湾分公司營運長

每年，世界經濟論壇（World Economic Forum, WEF）都會發布《全球風險報告》，涵蓋五個主要領域，包括經濟、環境、社會、地緣政治以及科技，對相關的風險和威脅進行深入分析，有助身處快速變化環境中的我們，更好地理解全球最關注的風險趨勢。

其中，在科技領域方面，全球各國普遍最關注的風險就是關鍵基礎設施的網路攻擊（Cyberattacks on critical infrastructure）。台湾無論是上市櫃公司、政府機關，或與政府機關有業務往來的服务提供者等，都可以發現政府現在對相關的法規要求越來越嚴謹，特別是針對資安、個資以及營運持續等。

了解網路安全相關風險 確保做好充分的風險管理

當企業組織在考慮採用新興科技時，都必須深入了解網路安全的相關風險。透過WEF及其他研究報告分析，下列議題將為影響企業組織推動及強化網路資安（Cyber Security）的關鍵考量，包含：

• 全球地缘政治的不稳定性：以俄乌战争為例，俄罗斯一开始即针对乌克兰的关键基础设施发动攻击。近期国内也发生民间公司及关键基础设施，如便利商店和大眾运输系统被攻击。这些都显示地缘政治的不稳定性，将是导致风险的主要因素之一。
  
  
• 新兴科技的快速发展及运用：新兴科技的应用，如最近崛起的颁丑补迟骋笔罢、生成式人工智慧（础滨）及云端技术，虽然带来了创新和便利，却也為风险管理带来巨大挑战，不小心甚致可能会导致商业机密外洩，从而大幅增加资安风险。
  
  
• 法令法规的改变及违反的衝击：遵守法令法规至关重要，特别是与资安、个资以及主管机关制定新规定相关的法规。必须符合法令法规要求，也将进一步為公司组织带来一定程度的挑战。
  
  
• 新兴威胁及攻击类型的快速增加：全球各国和大型公司都曾经歷过许多资安事件，其中绝大部份是在上云后发生。在在显示整个风险的变化挑战非常大，对公司组织的控管是谓严峻挑战。

然而，资安事件发生最困难的部分，往往是很难归究问题来源是来自技术、管理、策略或其他因素导致。现今资安风险具有极大的多样性，需要综合考虑多方因素，才能确保充分的风险管理。

雲端服务將為風險管理帶來更複雜的挑戰

許多新創公司追求快速進入市場，大量依賴雲端服务，雖然能帶來許多優勢，如無需建機房或購置硬體設備、減少水、電和空調支出，同時還能節省管理人力等，卻也可能會因只配置少數人員負責整個雲端環境管理，或上雲後才發現管理模式與傳統方法大相逕庭。在人力或技術等不足下，為風險管理帶來更複雜的挑戰。

臺灣政府推動資安逾20年之久，擁有強大的生態體系，在近年資通安全管理法通過後，針對資通安全的要求及規範的完善度持續提升，产业主管機關的要求也隨著環境的變化持續精進。以金融和電信产业為例，由於屬於高度監管的产业，在新興科技及服务的運用上須進行完善的評估及管理，以因應相關的風險及對業務的衝擊。近幾年，在政府大力推動科技創新下，金融業主管機關包括銀行局、證券期貨局和保險局，都開始陸續開放讓業者可以較有彈性地將雲端服务運用在業務上，讓企業組織得以透過上雲實現業務不中斷運作，甚至擴展跨國性業務。

企業組織在決定是否上雲之前，建议可以透過以下三個問題來確認是否已經準備好：

1. 企業組織打算採用哪種雲端服务模型？

雲端服务模型分為IaaS（基礎設施即服务）、PaaS（平台即服务）和SaaS（軟體即服务），無論採取哪種模型，都需要考量不同的風險並擁有足夠的能力來管理和應對。

2. 現有地端的管理、風控及防禦縱深，能否套用到雲端服务的維運？

即使在地端有着严格的控管，上云后的管制仍与地端管控有很大的不同。公司组织需考量是否拥有专业培训的云端人员，能有效管理不同的云端环境。

3. 现有资讯/资安人员的专业能力，能否因应相关的维运管理挑战？

公司组织需确保同仁清楚云端相关议题，并接受必要的专业培训，以因应相关的维运管理挑战。

當決定遷移到雲端時，也需仔細考慮會伴隨哪些潛在風險。根據雲端安全聯盟（Cloud Security Alliance, CSA）研究，列出了以下11個企業組織在考慮上雲時，應該特別關注的風險：

▲ 雲端安全聯盟 (Cloud Security Alliance, CSA) 於2022年發表了11項雲端服务面臨的威脅與挑戰

此外，國家資通安全研究院，也已針對政府機關使用雲服务訂定了 「政府機關雲端服务應用資安參考指引」，其中提供了政府機關可遵循的指引框架，包含雲端服务共通資安管理規劃、建置雲端服务專案流程，和雲端服务資安控制措施查檢表等。這些評估包括了解使用雲端服务的目的、用途、利害關係人、選項、監控方式，以及明確的建立流程和框架等。此外，還可使用檢查表來確保在雲端規劃、建置和部署過程中是否符合相關要求。透過這樣全面的規劃和評估過程有助於降低風險，確保雲端運用能夠成功並符合法規和相關安全标準。

參考國際标準結合業界最佳實務 持續提升在雲端使用及安全各面向之能量

政府在制定雲端相關規範時，也會參考國際标準的指引與精神。除了基本必須遵守的ISO/IEC 27001资讯安全管理國際标準外，國際間還有一些針對雲端管理和制度的指引标準可參考，主要分為以下三個方面：

• 运用面：即應用層面，如ISO/IEC 19086雲端服务水準協議框架，對於雲端服务的管理和運用提供了重要參考，政府在推動雲端時也常參考這項标準。
• 安全和隐私保护面：如ISO/IEC 27017雲端服务之資安控制措施、ISO/IEC 27018在公有雲上保護個人資料（PII）、以及ISO/IEC 27036 ICT产业風險管理。
• 云端运算基础：如ISO/IEC 22123系列。了解雲端架構的基本原理很重要，這涉及到對雲端環境的深入理解，以確保安全控制措施的有效實施。

▲ 國際間針對雲端管理和制度的指引标準，分為三個面向：運用面、安全及穩私保護面、雲端運算基礎。

這些标準之間都存在高度的關聯性。然而，無論哪種服务等級、服务水準或服务品質，都與资讯安全和隱私保護密切相關，這使得安全成為上云时的首要考虑因素，通常又可分為以下层次来看：

第一层：遵循全球廣泛遵守基本的ISO/IEC 27000資安系列标準。

第二层：涉及雲端時，可參考ISO/IEC 27017和ISO/IEC 27018，並與業界最佳實務結合進行強化。

第叁层：涉及隱私問題需要更深入的討論時，可參考ISO/IEC 29100隱私框架保護，此标準較偏重技術方面。此外，還須將當地的法令法規一併納入考量。

第四层：了解云端架构的基本原理对於安全至关重要。

▲ 國際間針對雲端隱私保護與资讯安全四個層面的相關運用

此外，全球还有许多公司组织，包括云端安全联盟（颁厂础）、云端控制矩阵（颁颁惭）和网路安全中心（颁滨厂）等，都有提供云端安全的相关指引供参考。

▲ 雲端控制矩陣（CCM）提出的17個控制領域 (Source: CSA)

此外，還需要區分使用雲端服务的供應商（CSP）和客戶（CSC），這兩者在權責和義務方面存在差異。因此，建议企業組織首先遵循並導入ISO 27000系列标準的基本要求，然後根據實際需求進行進一步的增強，同時參考最佳實踐。最後，透過「成熟度」的概念，評估出需要強化的方面，並提供相應的資源支援。

▲&苍产蝉辫;公司组织可根据「成熟度」的概念，鑑别出哪些方面做得好或需要强化的地方，以提供相应的资源支援。

总结来说，没有任何一个风险是可以仅靠控管单一面向，就能做到全面风险的管控。云端安全是一个广泛且复杂的领域，若想要成功实施就需要从策略、管理、技术和专业能力等多个面向一起纳入考虑。此外，由於現階段各产业對資安人力的需求非常大，企業組織應持續培育專責的資安人才，以確保雲端服务的安全性並滿足相關法規和标準要求。