因應雲端時代風險? 資策會雙管齊下推動雲服務信賴機制

隨著行動裝置的普及、物聯網及大數據成為企業發展的重要趨勢，而隨之而來資料量的劇增及運算能力的躍進，使得雲端運算（Cloud Computing）市場成為商家必爭之地。根據國際知名調研單位IDC預測，2015年全球投注於雲計算的資金將達1,180億美元，其中公用雲端（Public Cloud）將佔59.3%，達到700億美元；2018年可達2,000億美元，公用雲端投入也會增加至1,260億美元。 

近年來，美國的連鎖賣場Target和零售巨擘Home Depot，陸續傳被駭客侵入電腦數據庫，已造成顧客的金融資料與個人資料外洩，以及Uber遭駭造成美國5萬人資料外洩等，除了充分顯示企業資安無時無刻暴露在極大風險中。事故發生導致雲服務商服務中斷，客戶權益受損，甚至社會觀感不佳等等問題，也凸顯雲服務不僅要考慮系統安全，更要注意資料保護與跨國合規性，及SLA服務水準協議等各個與雲服務息息相關的環節，始能確實提供值得信賴的服務等問題。 

有鑑於此，資策會於2014年引進歐洲雲服務聯盟星級驗證機制（EuroCloud Star Audit, ECSA），即在推廣重視雲服務的完整信賴保證，並已於今年4月以前完成中文化工作。ECSA為歐盟技術小組官方認可之雲服務第三方驗證標準，針對雲端運算服務產業之特性，可分SaaS, PaaS及IaaS三種型態進行專屬驗證，其驗證管理面向不僅只針對資訊安全管理，更具體納入當地法令及合約規範、資訊服務管理和營運持續管理等，以服務水準協議為基準，確保雲服務之安全性及客戶滿意度。 

研討會特別邀請行政院張善政副院長進行貴賓致詞，張副院長表示，政府大力推動雲端產業政策，由於外在環境與日俱進，政府也著手進行新版雲端運算應用及產業發展方案的增修，將特別注重雲服務信賴機制的建立，從公正第三方認證機制的基礎，建立令人信賴的雲環境，進而促使台灣雲端市場正向發展，對於推動產業輸出海外也有正面助益。 

資策會副執行長龔仁文指出，不同於一般資訊服務的風險管理，雲端運算的主要挑戰包括資訊安全、資料保護跨國合規、雲服務水準、資料隱私等，環環相扣，牽一髮而動全局，以現階段雲服務國際性驗證機制比較，包括ISO27001、CSA、ISAE3402及TUV等，整體涵蓋面以ECAS的範圍最齊全。身為ECSA全球第一個支部Chapter，資策會將透過舉辦研討會及專業培訓班等，雙管齊下積極推動，以落實雲服務信賴機制在台深耕，強化台灣雲端產業服務向外輸出能力之基礎。 

除了研討會之外，資策會也特別邀請歐洲雲服務聯盟（EuroCloud Europe, ECE）副主席及ECSA全球執行官Dr. Tobias Hollwarth來台親自講授課程。為期兩天至三天的課程中，詳細介紹ECSA驗證制度之架構，並逐條解說標準條文，藉由小組演練、分組討論等方式，來說明建置雲服務管理應注意之流程重點及建議做法，藉以建立台灣雲端認證機制的種籽師資。