2012年4月2日--還在擔心放在雲端的資料會被駭?害怕雲端的電子郵件內容被偷窺、個人隱私權被侵犯嗎?微軟為具體實踐提供客戶雲端資料安全與隱私權保護的承諾,繼去(2011)年11月成為全球第一家通過ISO 27001資訊安全管理系統標準認證的雲端服務業者後,再進一步揭露「Windows Azure和Office 365資安與隱私權白皮書」,公開並詳細回應雲端資安聯盟(Cloud Security Alliance, CSA)針對資安與隱私權保護所提出的雲端控管矩陣(Cloud Control Matrix, CCM)之具體作法。企業客戶可自行下載白皮書,進一步了解微軟對於資安與隱私權保護的具體程序(http://www.microsoft.com/download/en/details.aspx?id=26647)。
CSA雲端資安聯盟為協助企業客戶評估其欲選擇之雲端服務是否適用,提出了雲端控管矩陣CCM評估標準,內容包括法規遵循(Compliance)、資訊安全(Information Security)、資料治理(Data Governance)、安全架構(Security Architecture)、風險管理(Risk Management)…等11個重要議題,並根據不同的雲端服務架構層級(Iaas、Paas、Saas)訂出多達98個評估項目。
微軟所發布的「Windows Azure和Office 365資安與隱私權白皮書」,詳細說明CCM每一個評估項目的具體作法與實際執行方式,例如編號SA-04的Security Architecture - Application Security (資安架構─應用程式安全)項目,要求程式設計應按照業界公認的安全標準(OWASP),並符合法規和商務需求。Windows Azure與Office 365是根據微軟資安開發生命週期(Security Development Lifecycle; SDL) 編制的嚴謹原則所設計,完全符合該項目之要求。
「微軟深切了解企業客戶對雲端服務有關資安與隱私權保護的疑慮,因此積極取得各項資安認證,公開雲端資安與隱私權保護的具體作法,讓企業客戶可以隨時檢驗。」台灣微軟營運暨行銷事業群總經理陳宣霈表示:「取得ISO27001資安認證,通過CSA所提出之雲端控管矩陣CCM 98項評估標準,證明微軟Windows Azure與Office 365公有雲服務的營運、資訊安全和隱私權保護技術與措施已通過國際安全組織的驗證,企業客戶可放心使用微軟的雲端服務。」
微軟對於資安與隱私權保護絕不是口號,具體做法、處理程序與相關文件都公開、透明攤在陽光下,企業客戶及消費者可以隨時稽核與檢視,甚至企業資料是儲存於微軟哪一個雲端資料中心,都可以經由信任中心(Trust Center) http://www.microsoft.com/online/legal/v2/?docid=21&langid=zh-cht 查明,有別於Google將資料中心當作營運機密,企業客戶及消費者無法直接了解其資安與隱私權保護的做法。
微軟尊重客戶使用雲端服務的資料隱私權與所有權,絕不恣意侵犯,有關微軟Office 365保護客戶隱私權的核心理念如下:
沒有廣告:Office 365 不會利用客戶的資料建立廣告機制。微軟不會藉由掃描客戶的電子郵件或是文件內容來建立分析、資料採礦、廣告或是改善服務。
不會將用戶的資料混在一起:Office 365將企業客戶的資料與提供消費服務的資料分開,絕不摻雜在一起。
資料可以隨時移動:Office 365的客戶資料屬於客戶所有,微軟提供相關工具與程序,客戶可以自由選擇將資料放在Office 365或是轉移到企業內部儲存。
多重國際認證:除了ISO 27001之外,Office 365為目前唯一率先依契約承諾歐盟示範條款 (EU Model Clauses) 的雲端服務供應商,該條款是由歐盟所設立的嚴密資料保護規範。此外,Office 365也符合美國「健康保險流通與責任法案」(Health Insurance Portability and Accountability Act,HIPAA) 的安全要件,其目的是針對醫療保健機構針對個人健康資訊的保護。同時微軟將與具備企業合約 (Enterprise Agreement) 的客戶簽署商業夥伴合約,尊重客戶的資安與隱私權保護,以符合當地法律規範。
欲進一步了解微軟如何保護客戶的隱私權,請參閱http://www.microsoft.com/online/legal/v2/?docid=23
微軟Office 365提供全面資訊安全防護
微軟了解資訊安全是一個持續前進的過程,而不是靜態─它需要時常維護、改善、經由經驗成熟的專業人員校驗、擁有與時俱進的軟/硬體技術支援,並透過健全的程序,才能真正完善設計、建置、運作與支援提供給客戶的服務;建立在這些豐富經驗的基礎上,Office 365對於資訊安全保護的具體行動如下:
長期深入的經驗:微軟提供線上資料安全的服務經驗已經超過15年,已經擁有實務經驗與完善的政策。
安全開發生命週期:微軟確保軟體從開發到提供服務的過程中,都是根據安全開發生命周期所編製的嚴謹原則所設計。
將安全區分成5種層級:將資料區分成資料、應用城市、主機端、網路、與外在環境等五個不同層級進行保護。
主動進行監控:微軟主動的監控並透過預測惡意程式行為與監控可能導致威脅的異常事件來界定潛在未知的威脅。
存取限制:只有極少數的操作員擁有權限存取運作中的伺服器資料。
選擇雲端服務3點不漏 企業資安與隱私權保護無慮
雲端服務是近年勢不可擋之IT趨勢,許多企業都在評估該如何導入雲端服務,台灣微軟建議企業選擇雲端服務時,應先進行以下3點評估,以確保企業資料與隱私權安全無虞:
是否通過ISO 27001資訊安全管理系統標準認證?
ISO 27001標準認證系列範圍廣泛,涵蓋隱私權、機密性及技術安全性問題,是目前資訊安全業界公認之標準。
是否針對CSA雲端資安聯盟要求的CCM提出具體說明與作法?
CSA雲端資安聯盟為全球雲端服務與ICT業者共同參與的組織,其目的在於促成全球雲端資安之共識。依照CSA雲端資安聯盟所制訂出之評估項目,提供公開、完整的作法,是雲端服務供應商對雲端資訊安全和隱私權保護的自我要求。
是否公開且可自由取得資安相關說明文件?
重視企業資安與隱私權,主動提供資料儲存之資料中心位置,以及其他資安具體作為的說明,絕對是雲端服務的基本要素。
關於微軟
微軟(納斯達克MSFT)成立於1975年,是在軟體、服務和解決方案的領先企業,幫助人們和企業實現其全佈潛力。
新聞小辭典:雲端資安聯盟
雲端資安聯盟CSA是在2009年的RSA Conference宣示成立的非營利組織,參與的成員包括微軟、Amazon、AT&T、CA、eBay、Google、HP、Oracle、Salesforce、Symantek、Trend Micro、Vmware…等115家全球知名的資通訊與雲端服務廠商,成立的宗旨是為了提供用戶和供應商對雲端運算必要的安全需求與保證證書的同樣認識的水準、促進對雲端運算安全最佳做法的獨立研究、提倡正確使用雲端運算和雲端安全解決方案的宣傳和教育計畫,及建立關於雲端資安認證的問題與方針。
英國標準協會(BSI)在1995年提出BS 7799資訊安全規範,國際標準化組織(ISO)於2005年正式採納BS 7799 Part II成為ISO 27001資訊安全管理系統標準,為現今國際公認最完整的資訊安全管理標準。
ISO 27001的內容共分成11個領域、39個控管目標、133個控管要點,包括安全政策、資訊安全組織、資產管理、人力資源管理、實體與環境安全、通訊與作業管理、存取控管、資訊系統獲取、開發及維護、資訊安全事件管理、營運持續管理與遵循性等領域。
ISO 27001標準可幫助組織鑑別、管理和減少資訊所面臨的各種風險,通過ISO 27001國際標準驗證,是對於客戶及組織資訊安全最大的承諾與保證 。
