承「剖析雲端服務資安管理之國際驗證標準導入（上）」之介紹，本篇接續分享有關公有雲服務個人資料保護之標準及雲端安全聯盟所推出雲端安全認證之規範內容，並彙整前述標準之重點。

公有雲服務個人資料保護 (ISO/IEC 27018:2019)

係以資訊安全管理系統(ISO/IEC 27001)之作業規範為基礎，延伸控制項16個，並取自隱私治理框架(ISO/IEC 29100)之隱私保護原則，增訂25 個控制要求，共計41個。該標準專門針對公有雲服務中的個人資料(PII)處理者，要求雲端服務提供者控管個資處理之生命週期，並著重在於個資處理之義務，規範其應遵循之控制措施，包含特定目的之利用、個資保護機制、個資之儲存所在地、異動紀錄、個資之返還與汰除等內容。例如：個資跨境傳輸及儲存地點事關重大，故該標準中的隱私遵循控制措施，對於公有雲的個人資料處理者則被要求明確的說明，讓雲端服務使用者知道其個人資料可能被儲存於哪些國家，且提供相關記錄佐證。

安全性、信任與保證註冊(Security, Trust & Assurance Registry, STAR)

係由雲端安全聯盟(Cloud Security Alliance, CSA)所推出的認證，名稱為安全性、信任與保證註冊，簡稱CSA STAR，其認證框架分為三個等級，從自我評估問卷、第三方認證到持續性監視。若要通過認證，必須以雲端控制矩陣(Cloud Control Matrix, CCM)為基礎，檢核雲端服務提供者之資安管理狀況，目前最新版本範圍涵蓋17個控制領域，包含人力資源、應用程式與介面安全、變更控制與組態管理、資料安全與隱私生命週期管理、基礎設施與虛擬化安全、稽核與確信、治理、風險與遵循性、密碼加密與金鑰管理、資料中心安全、日誌與監控、身分識別與存取管理、威脅與弱點管理、安全事故管理、電子發現與雲端鑑識、營運持續管理與作業韌性、互通操作性與可攜性、通用型端點管理、供應鏈管理、透明度與可歸責性，總計上述領域共有197個之控制項目。接續依據管理能力模型，評估其雲端安全管理之狀態，分數從1至15分，對應至各級距分別是無正式方法、被動、主動、改善與最佳化，五種展現資安成熟度之等級。

導入雲端國際標準之重點彙整

綜整上述三個國際標準之內容比較，主要還是對於雲端服務提供商的要求，有關雲端服務使用者篇幅較為精簡。皆係以ISO 27001為基礎，必須先通過該標準之驗證，由於ISO現行驗證版本尚未一致，則需要留意適用性聲明書的條文對照。此外，內部稽核人員執行稽核作業時，宜先行釐清受稽核單位之角色，進而了解其應辦理或應要求對方辦理之事項，方得選定適合之參考標準，臚列如下：

表：國際標準重點彙整表 (資料來源：內部查核室整理)

結語

鑑於企業使用雲端運算之比重不停增長，所面臨的資通安全威脅持續上升，因此不妨參採部分國際標準之控制措施，或是完整導入國際標準並完成驗證，藉此能為企業奠定良好的雲端服務資安管理基礎。截至目前，集保結算所係屬於雲端服務使用者，撇除本公司對外部雲端服務提供商之稽核作業，內部查核室未來亦視情況辦理專案查核，屆時除了依據前述標準內容，更將關注並收集雲端運算之應用發展與風險威脅等資訊，作為擬訂稽核計畫與項目之參考，盼有助於精進本公司程序規範之內容，落實執行資安防護作業，以有效控管雲端資安風險。