第 二 章 雲端服務運作安全
|
| 第 2 條 | (雲端服務相關定義)
一、雲端服務:透過網路技術達成共享運算資源之前提下,提供使用者具
備彈性、可擴展及可自助之服務。如下列雲端服務模式:
(一)基礎架構即服務(Infrastructure as a Service ,簡稱 IaaS )
:雲端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設
施。
(二)平台即服務(Platform as a Service ,簡稱 PaaS ):雲端服務
提供者向雲端服務使用者提供平台工具。
(三)軟體即服務(Software as a Service ,簡稱 SaaS ):雲端服務
提供者利用網際網路向雲端服務使用者提供應用程式服務。
二、雲端服務提供者:係指提供雲端服務之業者,以及透過雲端平台對客
戶提供應用軟體服務、工具或解決方案之業者。
三、風險基礎方法(Risk Based Approach, RBA):組織應確認、評估及
瞭解其使用雲端服務之風險,採取適當控制措施,以有效降低此類風
險。依該方法,組織對於較高風險情形應採取加強措施,對於較低風
險情形,則可採取相對簡化措施,以有效分配資源,並以適當且有效
之方法,降低經其確認之使用雲端服務風險。
四、互通性:係指系統或資料可從原本受委託之雲端服務提供者,移轉至
其他雲端服務提供者或移回組織。
五、所屬業別作業委託他人處理應注意事項:證券業係指「證券商作業委
託他人處理應注意事項」;期貨業係指「期貨商作業委託他人處理應
注意事項」;投信投顧業係指「證券投資信託事業證券投資顧問事業
作業委託他人處理應注意事項」。
六、重大性:應參考所屬業別作業委託他人處理應注意事項之定義。 |
|
| 第 3 條 | (雲端服務指引適用範圍)
一、本指引適用之範圍,以組織對於涉及營業執照所載業務項目或客戶資
訊之相關作業委外,並涉及使用雲端服務者,應符合本指引控管建議
。
二、組織如於非屬前項範圍使用雲端服務者,得參照本指引控管採納必要
之雲端服務資安控管。
三、外資集團在臺子公司或分公司,辦理作業委外涉及雲端服務,如係透
過外國母公司或總公司辦理者,可依外國母公司或總公司所訂管控措
施辦理,惟須不低於本指引規範之規定,外資集團在臺子公司或分公
司仍應就其在臺業務建立妥適內部控制制度及風險管理機制,充分掌
握對在臺作業涉及雲端委外事項之控管情形。 |
|
| 第 4 條 | (雲端服務風險管理)
一、組織使用雲端服務應建立使用雲端服務治理制度,規劃並確認以下事
項:
(一)應制定雲端服務管理政策,至少每年檢視一次。
(二)專責單位及相關單位對雲端服務使用之角色權責與責任劃分,專責
單位應包含雲端財務、成本或資源管理之角色。
(三)應針對雲端服務採取風險基礎方法評估潛在風險與管理風險議題,
評估項目宜包含:
1.雲端服務使用模式與情境;
2.雲端服務所涉及之業務與資料;
3.組織對於雲端服務可用性與互通性之要求;
4.組織對於雲端服務之管理能力與經驗。
(四)使用雲端服務與控管其風險事項應注意風險適度分散,惟採取多雲
或其他分散策略時,應同時考量營運複雜性提升之風險。
(五)如將作業項目委託至境外處理,應評估雲端服務提供者之客戶資料
處理地及其儲存地之資料保護法規,不得低於我國要求。如有高風
險之情形者,組織應採行妥適之風險控管措施。
(六)組織應針對使用雲端服務之風險建立適當監控機制,如:監控雲端
資源負載、安全防護與服務可用性,以健全業務持續性運作。
二、董事會應認知及監督組織使用雲端服務之風險,確保對於控管雲端服
務風險事項具備充足之資源、專業及權限。
三、應確保組織相關人員具備應有之專業知識與技能,於使用雲端服務期
間定期辦理人才教育訓練並驗證教育訓練之有效性,訓練內容可包含
資訊安全、風險認知和雲端知識技能等議題,以提升人員對雲端服務
導入、使用及管理之能力,並能以風險為基礎方法做出適當之決策與
監督。 |
|
| 第 5 條 | (雲端服務提供者選擇與盡職調查)
一、組織應依所使用之雲端服務模式,對雲端服務提供者執行盡職調查及
定期審查程序,評估雲端服務提供者之服務水準、備援機制、資料銷
毀機制、資源邏輯區隔機制、日誌留存機制、資通安全防護能力、資
通安全事件通報責任管理、業務持續運作與災難復原能力、受託業務
之專業知識與資源、財務健全、內部控制及符合法規要求等項目是否
可符合需求,若有不符合需求之處,應考量其他補償性措施。
二、委由雲端服務提供者處理之資料,組織應保有完整所有權,除執行受
託作業外,應確保雲端服務提供者不得有存取客戶資料之權限,並不
得為委託範圍以外之利用。
三、組織為確保於服務結束時,可將系統遷移或資料遷出雲端服務,應評
估雲端服務提供者可滿足下列雲端互通性和可移植性需求:
(一)雲端服務提供者可提出應用程式及資訊處理之互通性與可移植性需
求說明文件供組織參考。
(二)雲端服務提供者使用業界常見之虛擬化平台、虛擬機檔案格式、資
料檔案格式,以確保互通性。
(三)雲端服務若涉及應用程式介面存取服務,雲端服務提供者宜使用開
放或已公開之應用程式介面(API ),以確保應用程式元件可以較
容易地轉移。 |
|
| 第 6 條 | (雲端服務查核)
一、就雲端服務委外作業,組織對雲端服務提供者負有最終監督義務,應
落實定期對雲端服務提供者之查核,宜依風險基礎方法規劃查核頻率
、查核內容、時間及方式,並得視需要委託專業第三人以輔助其監督
作業,且應遵循所屬業別作業委託他人處理應注意事項之規定辦理。
二、組織應確保其本身、主管機關、同業公會及其指定之人能取得雲端服
務提供者執行作業之相關資料或報告,包括客戶資訊及相關系統之查
核報告,並進行查核。
三、涉及重大性之雲端委外作業者,對雲端服務之查核重點項目宜包含:
(一)雲端服務所在機房之實體安全控管機制。
(二)雲端服務提供者處理作業相關之重要系統及控制環節。
(三)盡職調查過程中雲端服務提供者所提供之報告內容。
(四)雲端平台資料刪除與災難復原流程。
(五)雲端服務提供者之營運持續性控制措施。
(六)雲端服務作業內容執行之妥適性並符合相關國際資訊安全標準及隱
私保護標準。
四、應持續追蹤雲端服務提供者之查核改善情形,確保其採取適當和及時
之替代性措施。 |
|
| 第 7 條 | (雲端服務供應鏈管理)
一、雲端服務委外作業之供應鏈管理事項,應參酌「資通系統與服務供應
鏈風險管理參考指引」辦理。
二、如涉及重大性自然人客戶業務資訊系統委託由雲端服務提供者處理,
契約或協議應包括委外作業移轉至其他雲端服務提供者或移回組織之
情況,原雲端服務提供者有關系統遷移、資料處理之義務,及雲端服
務提供者服務中斷之賠償責任。
三、契約或協議內容如無法符合本條第一項及第二項要求,應採取適當評
估,並依風險規劃替代措施,以確保對雲端服務提供者之最終監督義
務之執行。 |
|
| 第 8 條 | (雲端服務資安控管)
組織使用雲端服務應依風險基礎方法採取適當之控管措施,如:僅開放必
要連接埠(Port)、通訊協定(Protocols )與服務(Service )、病毒
防護、安全漏洞評估機制、檔案完整性監控等。
一、加密與金鑰管理
(一)傳輸及儲存客戶資料至雲端服務提供者時,應採行客戶資料加密或
代碼化等有效保護措施,並訂定妥適之加密金鑰管理機制。
二、身分識別與存取控制
(一)雲端服務存取權限管理應採權限最小化原則,輔以適當安全控管措
施,如:透過多因子認證、稽核軌跡、IP 地址過濾、防火牆,以
及傳輸層安全性(TLS )封裝的通訊管理。
(二)若透過網際網路直接存取雲端服務者,應強化身分、設備與來源
IP 識別等存取控制措施。
(三)應針對特權帳號實施多因子身份驗證機制,如:具備調整雲端服務
組態設定權限之帳號。
三、稽核軌跡與監控
(一)應留存雲端服務平台操作之稽核軌跡與監控資料。
(二)應有威脅與弱點檢測及管理流程,持續關注雲端服務相關威脅與弱
點,定期評估相關威脅與弱點對雲端服務使用之影響及網路安全防
禦措施之有效性。
(三)宜針對雲端安全事件場景制定監控與分析之關聯規則,以即早發現
潛在資安風險。
(四)宜考量集中管理稽核軌跡與監控資料。
(五)應避免雲端平台之稽核軌跡內容含有未加密之營運或客戶重要資料
。
(六)如組織之雲端服務係採與其地端資訊環境介接之雲地混合模式,宜
考量雲地間邊際防護,並建立日誌與監控分析相關機制。
四、基礎架構安全
(一)應確保採用可信任來源之映像檔,管理映像檔之完整性,並保留映
像檔異動紀錄。
(二)應確保採取適當措施管理使用中的虛擬機和容器。
(三)應確保雲端服務提供者依據需求,提供虛擬機隔離性(isolation
)說明,隔離性失效時應立即通知組織。
(四)應實施資料外洩、跨服務攻擊防護及持續性威脅防護等進階威脅防
禦策略,以保護對雲端環境的存取。
五、組態安全
應實施雲端服務組態管理機制,妥善管制對雲端服務組態之變更紀錄
。
六、資料安全
(一)涉及組織資料(含客戶資料)之登錄、處理、輸出或儲存時,組織
應確認雲端服務提供者辦理設備維護更換時(如硬碟更換),具備
相關機制可確保資料遷移過程安全性及完整性,且須對汰換設備內
之組織資料進行全數刪除或銷毀,並留存刪除或銷毀之紀錄。
(二)涉及個人資料跨境傳輸之雲端服務,組織應建立加密傳輸機制且應
就雲端服務提供者對客戶資訊之蒐集、處理、利用、國際傳輸及控
管情形確認符合我國個人資料保護法相關規定,傳輸前應取得當事
人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄
。
(三)涉及委託雲端服務提供者處理之客戶資料及其儲存地應依下列規定
辦理:
1.組織須保有其指定資料處理及儲存地之權力。
2.境外當地資料保護法規不得低於我國要求。
3.涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於我
國境內為原則。如位於境外,除經主管機關核准者外,客戶重要
資料應在我國留存備份。
(四)宜依據雲端服務使用之目的控管雲端服務存取方式。
七、涉及重大性之雲端委外作業,組織宜評估採行以下資安控管措施:
(一)使用標準化的網路協定,如涉及敏感性資料之傳遞,宜使用超文字
傳輸安全協定(HTTPS )、安全檔案傳輸協定(SFTP)等加密之網
路協定。
(二)定期評估雲端服務之基礎架構安全管理機制,以確保使用雲端服務
符合組織資訊安全政策等相關規範要求。
(三)使用自行管理之加密金鑰,以提升對金鑰的控制權。
(四)加密工具及金鑰儲存於隔離且安全的網路環境,並限制存取來源。
(五)避免使用營運資料執行雲端服務測試與驗證。
(六)監控與定期查核雲端資料使用情形,預防客戶隱私及營運機密外洩
。 |
|
| 第 9 條 | (雲端服務持續性及退場管理)
一、組織應針對涉及雲端服務使用之資訊系統辦理營運衝擊分析,評估雲
端服務之韌性及復原能力,並考量雲端服務所涉及資產、資源與資料
所在位置,以及雲端服務提供者可提供之復原能力規劃營運持續管理
計畫。
二、涉及重大性之雲端委外作業,組織規劃雲端服務營運持續之測試或演
練計畫時,應以風險基礎方法,決定測試或演練執行頻率與方式。宜
考量與雲端服務提供者共同合作擬訂建立使用雲端服務之營運持續測
試或演練計畫,並得於情況允許下與雲端服務提供者進行聯合測試或
演練。
三、組織應建立雲端資料備份機制,並留存備份清冊,備份媒體或檔案應
妥善防護,確保資訊之可用性及防止未授權存取。
四、組織應建立使用雲端服務之資訊安全事件通報與管理機制。
五、組織應於採用雲端服務前,建立終止使用雲端服務之轉移策略及計畫
,以確保終止或結束作業委託能順利移轉至另一雲端服務提供者或移
回自行處理。
六、組織應確保終止委外契約或終止使用雲端服務時,刪除雲端服務提供
者留存之資料(如虛擬機映像檔、儲存空間、快取空間、備份媒體、
客戶資料或敏感資料),並要求雲端服務提供者出具資料完全刪除之
證明。 |
|