雲端儲存的快速普及帶來資訊安全的新契機與挑戰。《Dark Clouds on the Horizon? Effects of Cloud Storage on Security Breaches》研究指出,雲端儲存的實施在短期內可能增加外部攻擊和內部意外洩漏風險,但長期使用卻能減少內部意外洩漏,且外部攻擊的風險趨於穩定甚至無顯著影響。這些發現凸顯資訊安全的時間性動態與管理複雜性,特別是如何調整資源以應對不同時期的風險。
ISO 27001:2022 主導稽核員在審視 CNS 27001:2023 台灣中文版時,可從這些結果中獲得幾點重要啟發:
- 強化「領導及承諾」以提升短期防護:短期內的資訊安全挑戰往往源於對安全措施的不夠專注,特別是在雲端應用初期階段。依據 CNS 27001 第 5.1 條規定,稽核員應確認組織的最高管理階層是否已制定與策略方向一致的資訊安全政策,並將資訊安全管理系統的要求事項有效整合至各項日常運作流程。同時,確保必要的資源可用,以支持政策的落實與推動。藉由充分的資源配置與政策的明確指導,能有效應對實施初期的安全風險,降低組織暴露於安全威脅中的可能性。
- 推動「持續改進」的文化:CNS 27001 第 10.1 條明確指出,組織應持續提升資訊安全管理系統的合宜性、適切性與有效性。研究表明,透過長期的實踐與學習,企業能逐步實現自動化的注意力分配,同時強化員工對資訊安全的意識,有效降低內部意外風險。稽核員應關注組織是否建立了完善的機制,能夠定期檢討雲端運行的經驗,並根據實際需求持續優化其資訊安全策略。
- 建立機密舉報與責任分配機制:雲端儲存中的「共享責任模式」常因責任劃分不清而增加風險。因此,根據 CNS 27001 第 7.4 條,稽核員應確認組織是否已決定並設置有效的內部與外部溝通與舉報機制。這包括明確舉報事項、適當的舉報時間、相關的舉報對象,以及適用的舉報方式。例如,提供匿名舉報管道,讓員工能安心回報潛在的安全威脅,有助於促進整體資訊安全管理的透明性與責任分配的清晰化。
- 結合理論與實踐:研究透過「注意力基礎理論」深入分析雲端應用的動態過程,揭示組織在應對安全風險時需平衡短期與長期的目標與策略。根據 CNS 27001 第 6.1 條,稽核員應檢查組織是否建立系統化的風險管理過程,包括風險評鑑與風險處理,並確保相關措施靈活應變且能有效執行。特別是透過識別風險來源、分析風險影響、優先處理高風險事項及制定風險處理計畫等方式,稽核員可協助組織動態調整其雲端應用策略,實現持續改善與安全防護的雙重目標。
參考文獻
- He, L., Kettinger, W. J., & Yoo, S. (2024). Dark clouds on the horizon? Effects of cloud storage on security breaches. Journal of Management Information Systems, 41(1), 206–235.
- 經濟部標準檢驗局. (2023). CNS 27001:2023 資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項.
