第 6 章 两岸市场云服务环境特色与展望
295
有鉴于此,世界各地的相关组织及政府机关已随着数据保护意识抬头,
提出多种评估标准或指引,或者可以作为参考。以中国台湾地区为例,
2012
年颁布的《个人资料保护法》系《计算机处理个人数据保护法》的延续,
不啻也为信息服务业绘制出数据保护与隐私权的框架;台湾相关部门亦从
更早期的“信息通信技术安全发展方案”开始,逐步推动信息安全的治理。
而国际上,美国国家标准与技术研究院(
NIST
)、
亚洲云计算协会(
ACCA
)、
欧盟网络与信息安全局(
ENISA
)
等组织无不殷殷期盼能为云计算服务面临
的迫切问题,包含数据保护、隐私权等议题,提出参考指引与规范。
通过信息通信技术软硬件业者及云服务运营商之间的结盟,共同发展
高度整合的一站式云服务(
IaaS
、
PaaS
、
SaaS
)
解决方案,唯在实务上,必
须考虑服务输出地及输入地的法令规范、产业及企业/组织内规的遵循性,
实际操作上须能掌握云服务商及用户的海量数据以作为管理利基 ,同时应
能有效控管所提供的各种服务及对应组件,并落实审计机制以确保维运符
合控管要求。个中若有公正透明的运作机制和标准,辅以云服务管理机制,
应更能加速推动发展健全的云服务产业环境。
对云服务跃跃欲试的组织,可参考云安全联盟(
CSA
)
提出的云控管矩
阵,针对不同服务模式进行衡量;亦可参考云标准消费者委员会发表的《云
计算安全:确保成功的
10
个步骤》(
Security for Cloud Computing
:
10
Steps
to Ensure Success
)
白皮书。对于已构建云服务的组织,或可将焦点放在深
化、强化适宜的安全管理机制,可参考信息安全相关规范,如:
ISO 27001
、
KMIP
(
Key Management Interoperability Protocol
)、
IEEE P1619
等。
