雲端服務資訊安全

ISO 27017提供基於 ISO/IEC 27002 的額外雲端特定實作指導方針，並提供額外的控制來處理雲端特定資訊安全性威脅和風險，相關控制措施以雲端服務客戶及雲端服務提供者進行敘述，例如資訊安全政策。

在討論資訊安全</b>之前，我們先來談談健全雲端資安應該擁有的C.I.A.三大基本原則： 1. 機密性 (Confidentiality)：確保資訊只能被經過授權的使用者所接觸。 2. 完整性 (Integrity)：資訊在傳輸或儲存的過程中，能保持正確一致而不被任意的篡改。 3. 可用性 (Availability)：資訊或服務必須保持隨時可用，不會因為任何因素中斷或停止。 除了上述的三要素之外，以下三個操作特性在維護資安上也尤其重要： 1. 可鑑別性 (Authenticity)：確保能正確辨識資訊使

雲端安全涵蓋多種策略，以防範雲端環境免於未經授權的存取、資料外洩和其他網路威脅。 雲端安全在保護機敏資訊及維持業務連續性上發揮重要作用。 現今企業高度依賴雲端服務進行創新、日常營運和多項關鍵任務功能，凸顯了雲端保護的重要性。

無論您的組織規模大小，只要想要增強雲端服務的安全性，ISO / IEC 27017 提供了全面的安全控制措施，幫助管理和降低資訊安全風險，是確保雲端服務安全的理想選擇。

一、政府機關於建置或使用雲端服務時，請參考國家資通安全研究院網站之共通規範專區所公布「政府機關雲端服務應用資安參考指引」（https://www.nics.nat.gov.tw/cybersecurity_resources/reference_guide/Common_Standards/），其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。 二、為使政府機關於建置或使用雲端服務時，降低可能之風險，相關資安要求事項如下： (一)應禁止使用大陸地區（含香港及澳門地區）

本篇已先就雲端應用背景與雲端服務資訊安全管理 (ISO/IEC 27017)內容概述，後續將介紹公有雲服務個人資料保護 (ISO/IEC 27018)及雲端安全聯盟所推出的安全性、信任與保證註冊 (CSA STAR)，並彙整前述標準重點。

雲端應用廣泛，只要連上網就可以輕鬆在雲端上對伺服器下指令，而雲端防護也成了重要課題。 本文深入探討雲端防護的定義、資安威脅和挑戰，並介紹雲端資安責任劃分，及雲端防護解決方案。