雲端安全認證今年底正式上路

新北市政府宣布參與雲端安全認證先導計畫。新北市政府研考會主委吳肇銘（圖左）、雲端安全聯盟亞太區總經理張潤才（圖右）。

雲端服務蓬勃發展之際，雲端安全聯盟（CSA）也積極推動雲端安全認證機制，目前並由全球200家企業會員共同開發認證框架，預計今年底將正式上路，成為全球第一個雲端安全認證，讓雲端服務供應商以此作為檢視雲端服務安全的參考準則。

雲端安全聯盟亞太區總經理張潤才指出，雲端安全認證框架是由全球會員共同開發，其中包括Google、惠普、微軟、思科、趨勢科技以及Amazon等都是重要成員。目前雲端安全聯盟所推動的認證框架，包含ISO 27001以及雲端控制矩陣（Cloud Control Matrix；CCM）兩大部分。雲端服務供應商必須先取得ISO 27001認證，才能進一步導入雲端控制矩陣，取得雲端安全認證。

雲端安全認證將區分為三個等級，第一級認證只需要自我檢核，雲端服務平臺是否符合雲端安全聯盟所公布的檢核項目即可取得，第二級認證則必須符合ISO 27001以及雲端控制矩陣的要求才能取得，第三級認證的目標是要做到線上即時的雲端服務安全把關。

張潤才表示，第三級認證框架還在制定中，預計明年可望正式對外公開。第二級認證框架的發展，則已經邁入驗證階段，目前參與先導計畫的雲端服務供應商，在亞太地區包括阿里巴巴以及新北市政府。歐美地區則有Verizon以及法國電信等，預計先導計畫完成後，雲端安全認證也將正式上路。

新北市政府為了因應下半年推出的公務雲以及服務雲，決定參與雲端安全聯盟的先導計畫，為雲端服務的安全把關。新北市政府研究發展考核委員會主任委員吳肇銘指出，雲端服務所帶來的便利性無庸置疑，但是，如果安全方面有所疑慮，將會影響雲端服務的推動計畫，可信度是推動雲端服務的重要挑戰。尤其公務雲以及服務雲將涵蓋27個機關、29個行政區的資料交換與流程整合，資訊安全層面的問題，如果可以經由第三方認證單位把關，比較容易找出雲端服務安全的盲點，並且有助於政府雲的發展。文⊙楊惠芬