(雲端服務提供者選擇)
一、雲端服務使用者應事先評估雲端服務提供者之服務水準(含資通安全
防護)等風險,採取適當風險管控措施。若有不符合需求之處,應考
量其他補償性措施。
二、雲端服務使用者應評估雲端服務提供者是否已建立雲端服務備援機制
,並建議於合約中明文規定雲端服務復原時間之相關要求。
三、雲端服務使用者就雲端服務提供者處理之資料應保有完整所有權,除
執行受託作業外,應確保雲端服務提供者不得有存取客戶資料之權限
,並不得為委託範圍以外之利用。
四、雲端服務使用者就雲端服務委外作業,應落實定期對雲端服務提供者
之查核。如雲端服務提供者已取得雲端安全國際認證(CSA-Star)銅
牌以上者,則可視實際情況要求提供驗證報告或進行實地查核。
|