Page 63 - 金融科技力
P. 63
商藉由通過 SAS70 (Statement on Auditing Standard No.70) 的 Type
II 稽核標 準,證明 對於資安 控制措施 與目標 (Security Control
Activities and Objectives) 已達到安全標準。或 進一步提供安全即服
務 (Security as a Service),將資安防護移往雲端,而 非設於用戶端,
大幅 的提升在 公用雲上 的安全性 ,讓企業 可以放心 的將應用 系統 部
署在雲端平台上。
以台灣證券期貨市場為例,為強化證券期貨市場對雲端服 務 、
社群 媒體及行 動裝置等 新興科技 之風險管 控能力, 金管會證 期局 於
2013 年 9 月責成證交所邀集期交所、櫃 買中 心、集保結算所、證 券
商公 會、期貨 商公會及 投信投顧 公會,共 同擬定「 證券期貨 市場 相
關公會雲端運算、社群媒體、行動裝置資訊安全管控指引」。在雲端
服務資訊安全方面,主要參考了雲端安全聯盟 (Cloud Security
Alliance, CSA) 提出之雲端控管矩陣 (Cloud Control Matrix, CCM)
1.4 版及 3.0 版。
雲端安 全聯盟 (CSA) 提出之雲端 控管矩陣 (CCM) 為基於
ISO 27001 資訊安 全管理系 統 (Information Security Management
System, ISMS) 之要求發展而 來,上述 指引僅就 雲端運算 服務之特
性, 提醒市場 參與者選 用或提供 雲端運算 服務時, 應特別關 注雲 端
服務 提供者的 選擇、雲 端互通性 與可移植 性、雲端 供應鏈管 理及 雲
端基 礎設施與 虛擬化安 全等控管 重點,其 餘資安管 制措施仍 應符 合
現行 ISO 27001 或「建立證券商資通安全檢查機制」之要求。
一、雲端服務提供者的選擇
選擇雲端 服務提供 者時,可 優先選擇 通過雲端 安全國際 認 證
(CSA-Star) 之業者, 並應評估 雲端服務 提供者之 服務水準 (含資訊
安全防護 ) 是否符合組織需求。針對產業應用情境,雲端業者應 取
得該 產業相關 的平台認 證。針對 國外業務 的使用情 境,亦須 確保 雲
端服 務業者取 得地區的 認證。同 時,組織 應落實雲 端服務委 外之 定
期查核作業,以確保雲端服務提供者確實執行各項作業。上述需求,
應明訂在與雲端廠商的合約當中。以微軟 Azure 來 說,在 2018 年底
49