微軟公布Windows Azure和Office 365資安與隱私權白皮書

CSA雲端資安聯盟為協助企業客戶評估其欲選擇之雲端服務是否適用，提出了雲端控管矩陣CCM評估標準，內容包括法規遵循（Compliance）、資訊安全（Information Security）、資料治理（Data Governance）、安全架構（Security Architecture）、風險管理（Risk Management）等11個重要議題，並根據不同的雲端服務架構層級（Iaas、Paas、Saas）訂出多達98個評估項目。

微軟所發布的「Windows Azure和Office 365資安與隱私權白皮書」，詳細說明CCM每一個評估項目的具體作法與實際執行方式，例如編號SA-04的Security Architecture - Application Security（資安架構─應用程式安全）項目，要求程式設計應按照業界公認的安全標準（OWASP），並符合法規和商務需求。Windows Azure與Office 365是根據微軟資安開發生命週期（Security Development Lifecycle，SDL）編制的嚴謹原則所設計，完全符合該項目之要求。

「微軟深切了解企業客戶對雲端服務有關資安與隱私權保護的疑慮，因此積極取得各項資安認證，公開雲端資安與隱私權保護的具體作法，讓企業客戶可以隨時檢驗。」台灣微軟營運暨行銷事業群總經理陳宣霈表示：「取得ISO27001資安認證，通過CSA所提出之雲端控管矩陣CCM 98項評估標準，證明微軟Windows Azure與Office 365公有雲服務的營運、資訊安全和隱私權保護技術與措施已通過國際安全組織的驗證，企業客戶可放心使用微軟的雲端服務。」

雲端服務是近年勢不可擋之IT趨勢，許多企業都在評估該如何導入雲端服務，台灣微軟建議企業選擇雲端服務時，應先進行以下3點評估，以確保企業資料與隱私權安全無虞：

1. 是否通過ISO 27001資訊安全管理系統標準認證？
ISO 27001標準認證系列範圍廣泛，涵蓋隱私權、機密性及技術安全性問題，是目前資訊安全業界公認之標準。

2. 是否針對CSA雲端資安聯盟要求的CCM提出具體說明與作法？
CSA雲端資安聯盟為全球雲端服務與ICT業者共同參與的組織，其目的在於促成全球雲端資安之共識。依照CSA雲端資安聯盟所制訂出之評估項目，提供公開、完整的作法，是雲端服務供應商對雲端資訊安全和隱私權保護的自我要求。

3. 是否公開且可自由取得資安相關說明文件？
重視企業資安與隱私權，主動提供資料儲存之資料中心位置，以及其他資安具體作為的說明，絕對是雲端服務的基本要素。