当前位置: 主页 > L生活妝 >Windows Azure和Office 365资安白皮书 >

Windows Azure和Office 365资安白皮书

作者: 分类: L生活妝 发布于:2020-06-09 浏览(860)


还在担心放在云端的资料会被骇?害怕云端的电子邮件内容被偷窥、个人隐私权被侵犯吗?微软为具体实践提供客户云端资料安全与隐私权保护的承诺,继去(2011)年11月成为全球第一家通过ISO 27001资讯安全管理系统标準认证的云端服务业者后,再进一步揭露「Windows Azure和Office 365资安与隐私权白皮书」,公开并详细回应云端资安联盟(Cloud Security Alliance, CSA)针对资安与隐私权保护所提出的云端控管矩阵(Cloud Control Matrix, CCM)之具体作法。企业客户可自行下载白皮书,进一步了解微软对于资安与隐私权保护的具体程序(http://www.microsoft.com/download/en/details.aspx?id=26647)。

保护云端资安与隐私权非口号 微软公开CCM 98项具体作为
CSA云端资安联盟为协助企业客户评估其欲选择之云端服务是否适用,提出了云端控管矩阵CCM评估标準,内容包括法规遵循(Compliance)、资讯安全(Information Security)、资料治理(Data Governance)、安全架构(Security Architecture)、风险管理(Risk Management)…等11个重要议题,并根据不同的云端服务架构层级(Iaas、Paas、Saas)订出多达98个评估项目。

微软所发布的「Windows Azure和Office 365资安与隐私权白皮书」,详细说明CCM每一个评估项目的具体作法与实际执行方式,例如编号SA-04的Security Architecture - Application Security (资安架构─应用程式安全)项目,要求程式设计应按照业界公认的安全标準(OWASP),并符合法规和商务需求。Windows Azure与Office 365是根据微软资安开发生命週期(Security Development Lifecycle; SDL) 编制的严谨原则所设计,完全符合该项目之要求。

「微软深切了解企业客户对云端服务有关资安与隐私权保护的疑虑,因此积极取得各项资安认证,公开云端资安与隐私权保护的具体作法,让企业客户可以随时检验。」台湾微软营运暨行销事业群总经理陈宣霈表示:「取得ISO27001资安认证,通过CSA所提出之云端控管矩阵CCM 98项评估标準,证明微软Windows Azure与Office 365公有云服务的营运、资讯安全和隐私权保护技术与措施已通过国际安全组织的验证,企业客户可放心使用微软的云端服务。」

微软对于资安与隐私权保护绝不是口号,具体做法、处理程序与相关文件都公开、透明摊在阳光下,企业客户及消费者可以随时稽核与检视,甚至企业资料是储存于微软哪一个云端资料中心,都可以经由信任中心(Trust Center) http://www.microsoft.com/online/legal/v2/?docid=21&langid=zh-cht 查明,有别于Google将资料中心当作营运机密,企业客户及消费者无法直接了解其资安与隐私权保护的做法。

微软尊重客户 Office 365公有云服务遵循四大隐私权核心理念
微软尊重客户使用云端服务的资料隐私权与所有权,绝不恣意侵犯,有关微软Office 365保护客户隐私权的核心理念如下:

没有广告:Office 365 不会利用客户的资料建立广告机制。微软不会藉由扫描客户的电子邮件或是文件内容来建立分析、资料採矿、广告或是改善服务。

不会将用户的资料混在一起:Office 365将企业客户的资料与提供消费服务的资料分开,绝不掺杂在一起。

资料可以随时移动:Office 365的客户资料属于客户所有,微软提供相关工具与程序,客户可以自由选择将资料放在Office 365或是转移到企业内部储存。

多重国际认证:除了ISO 27001之外,Office 365为目前唯一率先依契约承诺欧盟示範条款 (EU Model Clauses) 的云端服务供应商,该条款是由欧盟所设立的严密资料保护规範。此外,Office 365也符合美国「健康保险流通与责任法案」(Health Insurance Portability and Accountability Act,HIPAA) 的安全要件,其目的是针对医疗保健机构针对个人健康资讯的保护。同时微软将与具备企业合约 (Enterprise Agreement) 的客户签署商业伙伴合约,尊重客户的资安与隐私权保护,以符合当地法律规範。

微软Office 365提供全面资讯安全防护
微软了解资讯安全是一个持续前进的过程,而不是静态─它需要时常维护、改善、经由经验成熟的专业人员校验、拥有与时俱进的软/硬体技术支援,并透过健全的程序,才能真正完善设计、建置、运作与支援提供给客户的服务;建立在这些丰富经验的基础上,Office 365对于资讯安全保护的具体行动如下:

长期深入的经验:微软提供线上资料安全的服务经验已经超过15年,已经拥有实务经验与完善的政策。

安全开发生命週期:微软确保软体从开发到提供服务的过程中,都是根据安全开发生命周期所编製的严谨原则所设计。

将安全区分成5种层级:将资料区分成资料、应用城市、主机端、网路、与外在环境等五个不同层级进行保护。

主动进行监控:微软主动的监控并透过预测恶意程式行为与监控可能导致威胁的异常事件来界定潜在未知的威胁。

存取限制:只有极少数的操作员拥有权限存取运作中的伺服器资料。


选择云端服务3点不漏 企业资安与隐私权保护无虑
云端服务是近年势不可挡之IT趋势,许多企业都在评估该如何导入云端服务,台湾微软建议企业选择云端服务时,应先进行以下3点评估,以确保企业资料与隐私权安全无虞:

1.是否通过ISO 27001资讯安全管理系统标準认证?
ISO 27001标準认证系列範围广泛,涵盖隐私权、机密性及技术安全性问题,是目前资讯安全业界公认之标準。

2.是否针对CSA云端资安联盟要求的CCM提出具体说明与作法?
CSA云端资安联盟为全球云端服务与ICT业者共同参与的组织,其目的在于促成全球云端资安之共识。依照CSA云端资安联盟所制订出之评估项目,提供公开、完整的作法,是云端服务供应商对云端资讯安全和隐私权保护的自我要求。

3.是否公开且可自由取得资安相关说明文件?
重视企业资安与隐私权,主动提供资料储存之资料中心位置,以及其他资安具体作为的说明,绝对是云端服务的基本要素。