• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 專欄

將個資保護責任帶上雲,落實雲端共享安全責任

2026-03-16
分類 : 專欄
0
A A
0
將個資保護責任帶上雲,落實雲端共享安全責任

◤圖片由作者提供

個資上雲落實保護之實務探討

個資保護有望在新的年度進入實質的監管階段,現今幾乎資訊服務都要上雲的狀況,落實個資保護的方方面面,將是雲端業者與用戶要直接面對的課題。

文/林逸塵(國立政治大學資訊管理博士)


林逸塵i166d16
林逸塵任職於個人資料保護委員會籌備處隱私科技組組長,具有廿年以上資安及資訊管理相關經歷,專業領域在個人資料安維、資通訊安全、人工智慧、系統設計科學、資訊策略及新興技術應用,並發表多篇相關領域文章及學術期刊。

雲端運算是透過網路,以便利及隨選所需的方式存取共享式運算資源池(例如網路、伺服器、儲存空間、應用程式與服務)的運作模式,所提供的運算資源只需最少的管理作業,就能快速配置與發佈運算資源。提供清晰且全面的雲端服務框架,用於理解雲端運算及服務模型,能為規劃者、專案經理及技術人員提供概念性指導。

依照美國國家標準與技術研究院(NIST)所定義雲端安全標準,包含

五項基本特性:
(1) 隨需自助服務(On-demand Self-service)
(2) 廣泛網路存取(Broad Network Access)
(3) 資源池化(Resource Pooling)
(4) 快速彈性(Rapid Elasticity)
(5) 衡量服務(Measured Service)

三種服務模型:
(1) 軟體即服務(SaaS)
(2) 平台即服務(PaaS)
(3) 基礎設施即服務(IaaS)

四種部署模型:
(1) 私有雲(Private Cloud)
(2) 社區雲(Community Cloud)
(3) 公有雲(Public Cloud)
(4) 混合雲(Hybrid Cloud)

無論是雲端服務供應商(Cloud Service Provider, CSP)或雲端服務客戶(Cloud Service Consumers, CSC),各角色最終仍是彼此分工建立解決方案,CSC藉此無需在本地端(On-Premise)部署,避免複雜實作與龐大人力成本負擔,而在雲端服務模型的資安責任因不同的角色責任分擔仍有所區別。(見圖一)

◤ 圖一、紅色區域為 CSP 責任區;綠色區域為 CSC 責任區。

雲端服務隱私風險控制

雲端服務(IaaS、PaaS、SaaS)所帶來的便利性及彈性,使各領域使用雲端服務的發展迅速,PaaS 和 IaaS 主要偏向開發團隊使用,相對於 SaaS 的應用範圍則更廣泛,可能會包含終端使用者及非技術部門,其共通點都會蒐集、處利及利用大量的客戶資料。為了保護雲端上的個人資訊隱私,應聚焦雲端服務在使用模式中,所面臨的資料安全與生命週期管理(Data Security and Privacy Lifecycle Management)相關議題。

本期首先介紹雲端共享安全責任(Shared Security Responsibility, SSR)概念,可發展為雲端應用的基本安全原則、控制項目及準則,在共同的概念基礎下,CSP 與 CSC 得以安全地導入、評估及管理雲端服務,以控制隱私風險,清楚劃分責任歸屬。

雲端共享安全責任(SSR)

雲端服務的跨區域性與特定國家或法規有所關聯,個人資料保護須透過了解雲服務情境下的控制措施的歸屬責任,以促進產業或領域的參考作法。在符合主要隱私法規的共同要素及要求下,組織決定採用雲端服務的首要考量,在於雲端控制措施要能兼顧可執行性。

當資料由 CSC 蒐集、建立到銷毀的過程,須涵蓋完整的資料生命週期,例如從執行資料分類、盤點、保存與銷毀程序,經由識別其風險層級進行控制,此舉將有助於 CSP 與 CSC 共同保護隱私相關資料,更能確保資料在生命週期中有效安全管理。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]

雲端共享安全責任(SSR)實現透明性與問責性,將資料保護落實於雲端生態系。舉例而言,CSP 負責雲端架構的安全,提供 CSC 安全的資料儲存、存取與銷毀等機制;CSC 則負責雲端中資料的安全。若套用在雲端服務使用情境下,CSC 應運用 CSP 提供資料加密與存取控管的保護功能,確保雲端服務遵守資料隱私法規,由 CSP 與 CSC 共同維護穩健、合規的雲端控制項目,達到當責性的效果。

國際標準下的 SSR

在資訊安全的國際標準有定義雲端資安規範,例如 ISO/IEC 27001:2022 A5.23 雲端服務與資訊安全,要求建立獲取、使用、管理及退出雲端服務的流程。ISO/IEC 27017 與 ISO/IEC 27001 系列標準配合使用,為雲端服務提供者、雲端服務客戶提供了加強控制。

與許多其他技術相關標準不同,ISO/IEC 27017 標準闡明了雙方在雲端服務中,客戶和服務提供者各自需要負起的安全責任。而 ISO/IEC 27018 則是針對公共雲端服務中保護個人可識別資訊(Personally Identifiable Information, PII)提供指引,特別適用於 CSP 擔任 PII 資料處理者的情境,將標準建構在 ISO/IEC 27002 之上,提供專為雲端環境設計的控制措施與原則,確保雲端服務提供者能以負責、透明且安全的方式處理 PII。

ISO/IEC 19086 建立雲服務服務等級協議(Service Level Agreement, SLA)的共同概念。(見圖二)

◤ 圖二、ISO 19086-1: 2016 建立雲服務 SLA 的共同概念。

為促進雲端運算生態系中有效且全面的安全與隱私風險管理。無論組織的類型是 CSP 或 CSC,會因為不同的企業規模(大型企業或小公司)採取不同的雲端部署模式(IaaS、PaaS、SaaS),建立雲端共享安全責任(SSR)可用於劃分、實施及強制執行安全需求並監控其落實情形。協助公司將其內部的組織、營運與法規轉化為一套標準,形成與個資保護相關的資安政策、程序與技術控制目標。

根據內部風險評鑑,組織首先要辨識出需要保護與業務流程相關資訊的機密性、完整性與可用性。而這些資料集(Data Sets)通常具有不同的敏感性與關鍵性,尤其是資訊儲存在雲端資料庫,透過不同的雲端應用程式負責處理,及分別由 CSP 或 CSC 共同執行安全管理的責任。

組織可以利用 SSR 來識別具體的政策、程序及技術需求,並界定責任區納入組織安全計畫的控制目標,透過控制目標來強制執行,達成內部使用者、業務夥伴及雲端業者等利害關係人的相關要求,以及監控內部政策與外部合規性要求的遵循情形。

至此,CSP 與 CSC 透過符合全球隱私原則強化彼此信任,並釐清雲端服務供應商與客戶間的角色責任,使雲端服務供應商滿足監管與契約義務,促進 PII 處理的透明度、可稽核性與責任制,進一步導入隱私設計(Privacy-by-Design, PbD)在雲端服務開發中的應用。

資料安全與生命週期管理

資料安全與生命週期管理是 CSP 與 CSC 對於客戶隱私與資料安全的承諾,落實管理措施並非針對特定產業或部門,亦不專屬於某一特定國家或法規。然而,這些控制措施要考量主要隱私法規的共同要素與要求,對於雲端服務而言,通常要適用於全球各地的組織,並預期作為可執行的行動基準,CSP 與 CSC 要特別瞭解資料流的地域性規範,例如在某些特定國家、地點或部門營運的組織,可能必須實施當地所規定或補充的資料保護控制要求。

完整的資料生命週期包含從資料建立到銷毀的過程,依資料類型、資料分類、盤點清查、保留及處置程序,應對齊所適用之法律、法規、標準及風險等級進行適當處置,使 CSP 與 CSC 當責保護其擁有資料,以遵守個人資料保護相關法規。

在SSR 分責治理框架下,大致上 CSP 負責雲端環境安全(Security of the Cloud),提供 CSC 安全的資料儲存、存取與處置機制。另一方面,CSC 則負責保護其在雲端上儲存或處理的資料(Security in the Cloud),進行資料分類、資料安全的規劃,並利用 CSP 提供的資料保護、加密設定功能,以及透過指定存取權限的不同等級,提升雲端資料的整體安全與隱私,這種 SSR 責任共同承擔的模式,可促成 CSP 與 CSC 共識經營強健符規的雲端基礎環境,並且對於雙方在責任的歸屬產生實質的效益。(見表一)

◤ 表一,CSP 與 CSC 共享安全責任類型。

資料安全與控制目標

雲端共享安全責任在三種主要雲端服務模式(IaaS、PaaS、SaaS)會有所區分,主要依當責性而指派為實作特定控制措施,使不同的責任分區在 CSP 與 CSC 間進行分配,有些控制是明顯屬於 IaaS 提供者的職責範圍(例如雲端資料中心的安全控制、實體安全、基礎設施安全),而某些控制則適用於所有服務模式(例如身分與存取管理)。

這些控制項目著重於多個面向,包括實體、網路、運算、儲存、應用與資料等,此外更有助於各種法律與監管框架中,依照現有的安全規範進行對應,以便於決定採用雲端服務的政府機關、企業組織進行評估,哪些能力符合適用的法規與最佳實務作法。

再者,這些控制措施與組織業務活動具有高度相關性,並且與雲端服務的營運職能高度相關,理想的實施上所涵蓋的職能包括:資訊安全(Cybersecurity)、內部稽核(Internal Audit)、架構師(Architecture Team)、軟體開發(Software Development Team)、營運(Operations)、法務(Legal/Privacy)、風控治理(Governance/Risk/Control)、供應商管理(Supply Chain Management)及人力資源(Human Resources)。
雲端服務用戶可使用控制目標及項目來執行下面的操作:

(1) 將組織、營運與法律需求對應至控制目標、
(2) 建立雲端營運的風險管理計畫、
(3) 建立第三方風險管理計畫、
(4) 建立內部與外部的雲端稽核計畫。

組織建立雲端風險管理計畫時,要設定控制項目來衡量、評估並監控,將 CSP 相關的風險納入有下列的好處:

■ 用戶易於了解其自身安全需求與 CSP 具備安全能力之間的差距,用戶使用控制項目來識別風險轉嫁後的補償性控制。
■ 建立第三方風險管理計畫時,資料安全的控制目標使用戶在整體服務生命週期中評估雲端服務,明確雲端模式的責任歸屬。
■ 在採購雲端服務前進行評估,比較不同 CSP 的服務提供及控制差異,使服務監控與內部需求達一致性。

雲端服務的供應商透過控制目標,提供給 CSP 應遵循的內部安全計畫,以建立特定或經業界驗證的最佳實務。包含:
(1) 建立成熟且業界公認的最佳實務為基礎的內部安全計畫。
(2) 促進與商業夥伴及客戶之間的溝通與互通性。
(3) 展現對安全的承諾並透明地揭露安全態勢。
(4) 透過控制目標與其他國家及產業框架中的控制項間建立對應(例如 ISO 組織、NIST CSF、PCI DSS 標準等),以簡化合規性。
(5) 減少回應客戶評估所需時間與成本。
(6) 藉由計畫執行向監管機構展示對資料安全性承諾。
(7) 制定雲端內部與外部稽核計畫。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

上一篇文章

AI 顛覆十年磨一劍的新藥開發!跨國指標藥廠的數位轉型實戰精華

下一篇文章

AI 治理與關鍵基礎設施防護 全球數位夥伴共建安全生態系

相關文章

從帳戶到錢包:企業加密貨幣治理的新內控挑戰
專欄

從帳戶到錢包:企業加密貨幣治理的新內控挑戰

2026-07-15
主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 時代的新課題:企業如何建立 Token 治理?
專欄

AI 時代的新課題:企業如何建立 Token 治理?

2026-07-06
下一篇文章
AI 治理與關鍵基礎設施防護 全球數位夥伴共建安全生態系

AI 治理與關鍵基礎設施防護 全球數位夥伴共建安全生態系

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • AI 自主代理闖天下 企業如何治理
  • 晶片大戰新風向!為什麼科技巨頭都在研發自己的「AI 大腦」?
  • 政府資安戰略升級 聚焦主動防禦、後量子布局與公私聯防
  • 安提國際擴展NVIDIA Jetson Thor 動能!布局全新 NVIDIA Jetson T3000 與 T2000 邊緣運算模組
  • Progress Software 推出支援 NVIDIA DGX Spark 的 Progress Chef Enterprise Management,為「全球最小 AI 超級電腦」提供企業級管理能力

📈 CIO點閱文章週排行

  • 【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    0 分享
    分享 0 Tweet 0
  • AI 數位轉型找華碩!ASUS EXPERTHUB 共好生態圈上線

    0 分享
    分享 0 Tweet 0
  • 未治理 AI 將付出代價

    0 分享
    分享 0 Tweet 0
  • 前沿 AI 壓縮漏洞利用時窗 金管會提金融業七大資安韌性策略

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 歐美 AI 法規陸續底定,導入 ISO 42001 將事半功倍

    0 分享
    分享 0 Tweet 0
  • AI 推論後勢看漲,超大規模雲端業者點燃全球 ASIC 新戰火

    0 分享
    分享 0 Tweet 0
  • 尋求創新與隱私的平衡點 盤點歐美 AI 法規現況

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

就在駭客運用 AI 發掘各種新興攻擊手法與攻擊管道之際,許多網路安全專家不僅開始

【專訪】振生半導體執行長張振豐:Root of Trust新戰略,迎戰量子安全新世代

生成式 AI 加速落地、智慧設備大量部署,加上量子運算技術持續突破,未來資安競爭

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

為保證在 AI 賽道的領先,美國祭出總統令,要求可能被認定為 Covered F

擔心AI取代自己?不如就讓AI取代現在的自己

文/王義智(資策會 MIC 產業服務中心主任) 我最近動手寫了一些程式,利用 A

從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值

蛋糕已在烤,但誰來確認端上桌的那塊值得吃? 文/林華庭(聯新國際醫療集團總執辦策

CIO 與 CISO 不能不懂的架構轉變:蜂群式多代理系統

蜂群式多代理系統正在重塑企業 AI 的邊界——它讓自動化任務從單點執行升級為協作

醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

當 AI 從螢幕走進眼鏡,臨床現場的資訊取得方式正被徹底改寫。對醫院 CIO 而

監理鬆綁催生金融新場景 玉山攜北市聯醫打造跨域「金融處方箋」

文/鄭宜芬 隨著金管會逐步鬆綁法規限制,金融服務突破傳統業務邊界,朝向跨產業整合

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音