商藉由通過 SAS70 (Statement on Auditing  Standard  No.70)  的 Type
                        II 稽核標 準，證明 對於資安 控制措施 與目標  (Security Control

                        Activities and Objectives)  已達到安全標準。或 進一步提供安全即服

                        務  (Security as a Service)，將資安防護移往雲端，而 非設於用戶端，
                        大幅 的提升在 公用雲上 的安全性 ，讓企業 可以放心 的將應用 系統 部
                        署在雲端平台上。

                             以台灣證券期貨市場為例，為強化證券期貨市場對雲端服 務 、

                        社群 媒體及行 動裝置等 新興科技 之風險管 控能力， 金管會證 期局 於
                        2013 年 9 月責成證交所邀集期交所、櫃 買中 心、集保結算所、證 券

                        商公 會、期貨 商公會及 投信投顧 公會，共 同擬定「 證券期貨 市場 相
                        關公會雲端運算、社群媒體、行動裝置資訊安全管控指引」。在雲端

                        服務資訊安全方面，主要參考了雲端安全聯盟  (Cloud  Security
                        Alliance, CSA)  提出之雲端控管矩陣   (Cloud Control Matrix, CCM)
                        1.4 版及 3.0 版。

                             雲端安 全聯盟  (CSA)  提出之雲端 控管矩陣  (CCM)  為基於

                        ISO 27001 資訊安 全管理系 統  (Information Security Management
                        System, ISMS)  之要求發展而 來，上述 指引僅就 雲端運算 服務之特

                        性， 提醒市場 參與者選 用或提供 雲端運算 服務時， 應特別關 注雲 端
                        服務 提供者的 選擇、雲 端互通性 與可移植 性、雲端 供應鏈管 理及 雲

                        端基 礎設施與 虛擬化安 全等控管 重點，其 餘資安管 制措施仍 應符 合
                        現行 ISO 27001 或「建立證券商資通安全檢查機制」之要求。




                        一、雲端服務提供者的選擇



                             選擇雲端 服務提供 者時，可 優先選擇 通過雲端 安全國際 認 證
                        (CSA-Star)  之業者， 並應評估 雲端服務 提供者之 服務水準  (含資訊

                        安全防護 )  是否符合組織需求。針對產業應用情境，雲端業者應 取
                        得該 產業相關 的平台認 證。針對 國外業務 的使用情 境，亦須 確保 雲

                        端服 務業者取 得地區的 認證。同 時，組織 應落實雲 端服務委 外之 定
                        期查核作業，以確保雲端服務提供者確實執行各項作業。上述需求，

                        應明訂在與雲端廠商的合約當中。以微軟 Azure 來 說，在 2018 年底

                                                                                                          49