編章節內容

名  稱:

證券期貨市場相關公會新興科技資通安全管控指引 

Directions on Information and Communication Security Management and Control of New Technologies for Associations of Securities and Futures Market

公發布日: 民國 111 年 05 月 11 日
主題分類: 資訊作業
   第 二 章 雲端運算服務運作安全
第 2 條
(雲端運算服務定義)
透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可擴展
及可自助之服務。如:IaaS(基礎架構即服務)、PaaS(平台即服務)、
SaaS(軟體即服務)。
一、基礎架構即服務(Infrastructure as a Service,簡稱 IaaS):雲
    端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設施。
二、平台即服務(Platform as a Service,簡稱 PaaS):雲端服務提供
    者向雲端服務使用者提供平台工具。
三、軟體即服務(Software as a Service,簡稱 SaaS):雲端服務提供
    者利用網際網路向雲端服務使用者提供應用程式服務。
第 3 條
(雲端運算服務指引適用範圍)
一、為確保組織使用雲端運算服務之安全,組織應事先評估使用雲端服務
    之風險,若雲端服務涉及核心系統、資料或服務者,應符合本指引控
    管建議。
二、本指引定義之雲端服務,不包含建置組織內部且僅對內提供服務之私
    有雲。
第 4 條
(雲端服務提供者選擇)
一、雲端服務使用者應事先評估雲端服務提供者之服務水準(含資通安全
    防護)等風險,採取適當風險管控措施。若有不符合需求之處,應考
    量其他補償性措施。
二、雲端服務使用者應評估雲端服務提供者是否已建立雲端服務備援機制
    ,並建議於合約中明文規定雲端服務復原時間之相關要求。
三、雲端服務使用者就雲端服務提供者處理之資料應保有完整所有權,除
    執行受託作業外,應確保雲端服務提供者不得有存取客戶資料之權限
    ,並不得為委託範圍以外之利用。
四、雲端服務使用者就雲端服務委外作業,應落實定期對雲端服務提供者
    之查核。如雲端服務提供者已取得雲端安全國際認證(CSA-Star)銅
    牌以上者,則可視實際情況要求提供驗證報告或進行實地查核。
第 5 條
(雲端互通性和可移植性)
一、雲端服務提供者應滿足雲端使用者對於應用程式及資訊處理之互通性
    與可移植性需求,並提出相關說明文件供使用者參考。
二、雲端服務提供者宜使用業界常見之虛擬化平台、虛擬機檔案格式、資
    料檔案格式,以確保互通性。
三、雲端服務提供者應依雲端服務使用者需求,使用標準化的網路協定。
    如涉及敏感性資料之傳遞,宜使用超文字傳輸安全協定(HTTPS )、
    安全檔案傳輸協定(SFTP)等加密之網路協定。
四、雲端服務提供者提供之雲端服務若涉及應用程式介面存取服務,宜使
    用開放或已公開之應用程式介面(API ),以確保應用程式元件可以
    較容易地轉移。
第 6 條
(雲端供應鏈管理)
一、雲端服務使用者傳輸及儲存客戶資料至雲端服務提供者,應採行客戶
    資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機
    制。
二、雲端服務提供者應根據與雲端服務使用者之服務水準協議,維持其服
    務水準,且應定期提供協議中各項服務水準指標之報告與操作紀錄(
    如系統變更紀錄、作業系統映像檔存取紀錄等)。
三、雲端服務提供者應負責檢視雲端服務供應鏈中其他合作夥伴可能影響
    服務品質的風險與錯誤。
四、雲端服務提供者應於雲端服務運作發生資通安全事件時,及時通知受
    影響的雲端服務使用者與供應鏈中的合作夥伴,並定期更新事件處理
    的相關訊息。
第 7 條
(雲端基礎設施與虛擬化安全,適用於 IaaS、PaaS 服務)
一、雲端服務提供者應確保虛擬機映像檔之完整性,有關映像檔的重要異
    動,如:調整虛擬機記憶體大小、調整虛擬機硬碟容量等,都應該被
    記錄,並提供客戶檢視相關變更紀錄之機制。
二、雲端服務提供者如有設備維護更換時(如硬碟更換),所含組織之資
    料須進行全數刪除或銷毀,應依據其儲存媒介之性質,以消磁、銷毀
    、粉碎或其他適當之方式進行銷毀程序,並留存刪除或銷毀之紀錄。
三、雲端服務提供者應依據雲端服務使用者需求,提供虛擬機隔離性(
    isolation )說明,隔離性失效時應立即通知雲端服務使用者。
四、雲端服務提供者應就雲端作業系統,包含虛擬層(hypervisor)與虛
    擬機的作業系統(guest operating systems ),輔以適當的安全控
    管措施,如:僅開放必要連接埠(Port)、通訊協定(Protocols )
    與服務(Service )、病毒防護、安全漏洞評估機制、檔案完整性監
    控等。
五、雲端服務運作人員權限管理應採權限最小化原則,輔以適當安全控管
    措施,如:透過雙因子認證、稽核軌跡、IP  地址過濾、防火牆,以
    及傳輸層安全性(TLS )封裝的通訊管理。
六、雲端服務提供者提供 IaaS 服務(基礎架構即服務)時,應依雲端服
    務使用者需求將含敏感資料之虛擬硬碟進行加密,限制快照或未授權
    存取。
第 8 條
(雲端服務之個人資料跨境傳輸)
涉及個人資料跨境傳輸之雲端服務,組織應建立加密傳輸機制且應就雲端
服務提供者對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符
合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管
機關對國際傳輸之限制,並留存完整稽核紀錄。
第 9 條
(雲端服務中斷及終止管理)
一、雲端服務使用者應訂定妥適之緊急應變計畫,降低因雲端作業而可能
    有服務中斷之風險。
二、雲端服務使用者終止或結束作業委託,應確保能順利移轉至另一雲端
    服務提供者或移回自行處理。
三、雲端服務提供者於提供終止後,應全數刪除或銷毀留存資料(如虛擬
    機映像檔、儲存空間、快取空間、備份媒體、客戶資料或敏感資料)
    ,並出具資料完全刪除之證明。