因應全球雲端運算、儲存等技術蓬勃發展，且隨著主管機關法規修正，調整上雲之程序規範，以致銀行、證券及保險等業者正在面臨一波上雲浪潮。由於集保結算所在金融行業裡之特殊地位與社會責任，必須要持續創新並強化服務之韌性，故而本公司亦無法置身於雲端之外。然而往雲端邁進的同時，除了符合社會大眾期待、主管機關政策、法令法規要求、…等，勢必考量資訊安全、隱私保護及營運持續等議題，才能完善擘劃規章程序、制定上雲計畫並實際驗測雲端服務之機密性、完整性與可用性。

選擇導入合適之國際標準前，須釐清雲端運算定義以及企業所使用或所提供的雲端運算作為其服務，識別企業所擔任的角色，不論是雲端服務提供者(Cloud Service Provider, CSP)或是雲端服務使用者(Cloud Service Customer, CSC)，這將會是國際標準導入過程的重要概念，進而也能界定各自的責任與義務。雲端運算包含五種基本特徵（多樣化的網路存取方式、快速具彈性的架構、可量測的服務、自助方式調配所需的服務以及虛擬化共享資源池）；三種服務型態（軟體即服務、平台即服務、基礎設施即服務）；與四種部署模式（公有雲、私有雲、混合雲與社群雲），詳見美國國家標準暨技術研究院之內容。

本文將會以導入雲端服務資安管理國際驗證標準為主軸，重點說明國際標準之概念，以及企業如何參採雲端服務資訊安全管理(ISO/IEC 27017)、雲端服務個人資料保護(ISO/IEC 27018)或雲端安全聯盟所推出雲端安全認證之規範內容，用以建立適當之雲端安全管理政策，並提升使用雲端服務之風險控管。

雲端服務資訊安全管理(ISO/IEC 27017:2015)

係以資訊安全管理系統(ISO/IEC 27001)之作業規範(ISO/IEC 27002)為基礎，延伸其內容之37個控制項，更額外增訂雲端專屬的7個控制項，共計44個，制定對於雲端服務的資訊安全作業規範。該標準適用各行各業、各種雲端服務類型，分別以雲端服務提供者與雲端服務使用者的視角，檢視是否負起該角色之資安責任與實施適當的控制措施。值得注意的是，由於部分控制項是延伸至ISO 27001，因此雖然是同樣的控制項名稱，但解讀的角度卻是不同。例如：容量管理之控制措施，以ISO 27001來說，係指對於系統之使用應受監視並適時調整容量，必須監控伺服器運作狀況，當特定指標超過一定數值時，產生告警並執行後續處理，確保符合目前與預期之容量要求；ISO 27017則是以角色區分應執行之控制措施，若為雲端服務使用者係應確認由雲端服務提供者同意提供的容量符合自身的要求並監視雲端服務的使用，才能確保雲端服務的性能，若為雲端服務提供者則應以資源池的概念監視提供給雲端服務使用者之總資源的容量狀態，避免因資源短缺造成服務中斷或資安事故。

小結

本篇已先就雲端應用背景與雲端服務資訊安全管理(ISO/IEC 27017)內容概述，後續將介紹公有雲服務個人資料保護(ISO/IEC 27018)及雲端安全聯盟所推出的安全性、信任與保證註冊(CSA STAR)，並彙整前述標準重點。