學完企業資安事件應變 (Incident Response) 與災難復原 (Disaster Recovery, DR)後,最後一部就是資安合規與治理 (Cloud Security Governance)了,一起來看吧。
1️⃣ 資安合規與治理是什麼?為什麼重要?
企業上雲後,資料不是放在自己機房,而是交給雲端供應商(AWS、Azure、GCP等),這時候就需要遵循國際資安標準,確保數據安全,避免罰款或商譽損失。✅ 符合國際資安標準,降低資安風險與罰款✅ 保護客戶資料,避免數據外洩影響品牌信任
✅ 應對法規要求,如 GDPR、ISO 27001、SOC 2 等
2️⃣ 企業常見的資安標準
🔹 GDPR(General Data Protection Regulation)
📌 影響範圍
- 只要有處理歐盟用戶資料,不管公司在哪,都要遵守。
- 若違規,罰款最高可達 全球營收的 4% 或 2000 萬歐元(以高者為準)。
📌 重點要求
✅ 個人資料保護:企業要確保用戶資料不會隨便洩漏。
✅ 用戶權利:「可攜權」「刪除權」(用戶可以要求刪除自己的資料)。
✅ 資料外洩通報:發生資安事件,需在 72 小時內 通報主管機關。
📌 PM 需要注意什麼?
- 公司有 歐盟客戶 嗎?有的話,一定要符合 GDPR。
- 系統有「用戶資料刪除」功能嗎?
🔹 ISO 27001(資訊安全管理)
📌 影響範圍
- 適用於所有產業,但特別常見於科技、金融、醫療領域。
- 如果公司想標榜自己「資訊安全有保障」,通常會申請這個認證。
📌 重點要求
✅ 風險管理(企業要識別可能的資安風險,並有應對計畫)
✅ 存取控制(誰能讀取、修改、刪除公司資料?權限管理要清楚)
✅ 備份與復原計畫(確保企業能夠在災難發生後迅速恢復)
✅ 定期審查與改善,企業每年需要通過外部稽核。
🔹 SOC 2(雲端服務合規)
📌 影響範圍
- 主要適用於 SaaS 企業,例如 AWS、Google Cloud、Dropbox 都有 SOC 2 認證。
- 企業如果使用第三方雲端服務,通常會要求對方提供 SOC 2 報告,確保其安全性。
📌 重點要求
✅ 系統安全性:確保 SaaS 服務不容易被駭客攻擊。
✅ 資料隱私保護:企業如何管理客戶資料的存取權限。
✅ 可用性(確保系統能穩定運行,避免停機)
3️⃣ 供應鏈攻擊(Supply Chain Attack)
為什麼企業不能只關心自己的安全,還要關心供應商的安全?
現代企業 不只依賴內部系統,還會使用第三方 SaaS 服務、API、外包商等,而駭客可能透過這些 「供應鏈漏洞」 來攻擊企業。
📌 供應鏈攻擊的 3 種方式
🔹 如何降低供應鏈攻擊風險?
✅ 要求供應商提供 SOC 2 認證(確保 SaaS 服務有良好的資安管理)
✅ 定期審查供應鏈安全性(檢查合作廠商的資安防護措施)
✅ 限制第三方存取權限(不要讓供應商有過多的系統權限)
✅ 監控 API 連線(確保 SaaS 服務的 API 沒有異常行為)
📌 重點總結
1️⃣ 資安標準
- GDPR:保護個人資料,影響有歐盟客戶的企業。
- ISO 27001:資訊安全管理制度,適用各產業。
- SOC 2:SaaS 企業的安全性認證,確保雲端服務可信。
2️⃣ 供應鏈攻擊
- 駭客會從供應商下手,企業需要關注 SaaS 供應商、開源套件、第三方合作夥伴的安全。
