云端服务是一种趋势,很多企业或是组织在考量使用云端前,对云端相关的安全性有很大的疑虑,资料放在云端到底安不安全,云端服务的业者能不能看到我的资料,云端的可用性是不是如同他们宣称的永不坠落,近期有些公务机关在招标文件内加入需要通过ISO 27017及ISO 27018的认证,这样的认证是否能够符合对云端资讯安全的要求,我想借由以下的说明可以让大家更清楚了解这两项标準。首先要理解云端服务相关的保证要素,才能判断云端服务到底要注意甚么?下图可以让我们知道云端服务的各项因素,看来资讯安全只是其中一项而已。从这些因素来看云端服务跟一般资讯委外会有一些差异,所造成在选择云端服务时可能需要不同的认验证机制,确保所选择的云端服务符合我们的需要下图是目前市场上现有的云端验证机制的比较ISO 组织并未针对云端服务整体的要求订定相关标準,仅有对资讯安全部分订定ISO27017及ISO27018,这两项标準是基于ISO27002相关控制措施所延伸出来的指引,并不是一个完整的管理系统,所以要导入ISO27017及ISO27018必须要有ISO27001的资讯安全管理系统作为基础,在内外部议题及风险的部分去对应所延伸或附加的控制措施,现在的问题是ISO27001及ISO27002在2022年已经改版,ISO27017及ISO27018正在修订中,预计是2025或2026年才有可能完成修订,所以目前想要导入的组织,只能利用新旧版的对照来指引相关控制措施。ISO 27017提供基于 ISO/IEC 27002 的额外云端特定实作指导方针,并提供额外的控制来处理云端特定资讯安全性威胁和风险,相关控制措施以云端服务客户及云端服务提供者进行叙述,例如资讯安全政策。当然也会针对原先ISO/IEC 27002控制措施不足的部份去设计新的控制措施,例如:CLD 6.3.1云端运算环境中共享的角色和责任。实务上在导入时,应利用原先的适用性声明书去做延伸及设计,如下图ISO 27018根据 ISO/IEC 29100 中针对公共云服务环境的隐私原则,为实施保护个人身份资讯 (PII) 的措施建立了普遍接受的控制目标、控制和指南,特别是,指定基于 ISO/IEC 27002 的指引,并考虑了保护 PII 的监管要求,这些要求可适用于公共云服务提供商的资讯安全风险环境,例如:资讯安全政策。值得一提的是ISO 27018除了延伸ISO/IEC 27002外,另外构成扩充控制措施,以满足适用于公共云的 PII 保护要求的服务提供商,这些扩充控制根据 ISO/IEC 29100 的 隐私原则进行分类,例如:A.5.1安全移除临时档案。导入ISO 27018时应注意相关控制措施区分政策、合约、组织、训练、技术实施、程式控制、通信传输等,如下图关于如何导入,请参考下列资讯https://ingsafe.tw/