新北市府率先導入雲端安全控制矩陣CCM，取得Level 2認證

雲端安全聯盟所制定的雲端安全控制矩陣CCM，是在ISO 27001基礎上所發展的雲端安全認證標準，新北市政府3月導入認證框架，以90多項控制點逐一檢視，是否符合先導計畫資安規範

                               
登錄/註冊後可看大圖

新北市政府資訊中心主任高永煌表示，雲端安全聯盟所制定的雲端安全控制矩陣CCM以及開放式認證框架OCF，是一個比ISO 27001要求更嚴格的資訊安全規範，總共有90多項控制要點，新北市政府目前已經取得先導計畫認證。
各式各樣的雲端應用如日中天，但至今仍缺乏針對雲端服務所制定的安全規範，由微軟、思科、趨勢科技以及Amazon等全球200家企業會員共同參與制定的雲端安全認證，目前已邁入先導驗證階段，預計今年底正式出爐。今年初，新北市政府與國際組織雲端安全聯盟（Cloud Security Alliance，簡稱CSA）簽訂合作意向書，是全球唯一參與雲端安全先導認證計畫的政府機構，目前並已取得雲端安全先導計畫Level 2認證。

新北市政府資訊中心主任高永煌表示，新北市政府原本就已經導入ISO 27001認證多年，這次是基於ISO 27001的資安基礎上，導入雲端安全聯盟所制定的雲端安全控制矩陣（Cloud control Matrix，簡稱CCM）以及開放式認證框架（Open Certification Framework，簡稱OCF)，同時並經由90多項控制要點，逐一檢視新北市政府的資訊安全管理運作機制，是否符合雲端安全聯盟先導計畫的資安規範。

高永煌表示，雲端安全聯盟的資安規範，比ISO 27001更為嚴謹，主要因為ISO 27001發展在先，雲端技術發展在後，因此，ISO27001對於後來興起的技術相對缺乏具體規範以及實務操作建議。

其中，CCM特別強調，但ISO 27001沒有明確要求的數個控制要點，包括限制虛擬主機（VM）對虛擬化環境公用程式（Utility Programs）存取、強調防毒軟體與病毒碼至少每十二小時必須要更新、無線網路應設置安全控制、需明確定義資料保留期限以及對敏感資料儲存、傳送皆需加密等。

新北市政府為了符合更高的資訊安全要求，特別依據CCM所做的資訊安全強化，包括對於系統管理者的權限變更紀錄與異常紀錄處理的稽核紀錄加強管理，讓每一個使用者授權與異動都納入管控與查核。高永煌表示，在各種資訊安全管理上，最難管理的就是人，以往新北市政府對於系統管理者是採取信任機制，藉由這次導入雲端資訊安全規範，已把系統管理者的管理制度化、文件化。此外，使用者密碼變更也從120天縮短為90天，針對高安全要求的業務，未來將考慮導入動態密碼。

不過，新北市政府在導入雲端安全控制矩陣時，也遭遇到一些困難，並不是短期內能夠以一己之力改善的，高永煌表示，CCM強調防毒軟體與病毒碼至少每十二小時要更新，但常見的防毒軟體與病毒碼大都為每日24小時一次，這個部分有賴於防毒軟體廠商改進，才能達到至少12小時更新的要求。

此外，CCM要求限制虛擬主機對虛擬化環境的公用程式存取，雖然新北市政府已經針對常用的公用程式設定執行權限，但對於系統底層的公用程式存在的風險及存取權限，仍有賴於虛擬化解決方案廠商改善。

在資料安全加密部分，CCM的規範是資料傳送與儲存都需要加密，然而，這樣的做法必須投入相當的人力、時間與經費。高永煌表示，新北市政府在考量資訊支出成本前提下，目前僅針對機敏資料加密，未來是否能夠在有限的資訊預算範圍內擴大實施，新北市政府還在進行相關系統，預計今年底將正式頒佈為雲端安全認證標準。屆時，雲端資訊安全聯盟工具評估與測試中。

高永煌表示，新北市政府所依循的CCM規範，是一個還在發展中的先導計畫，未來雲端安全聯盟應該會重新思考標準的合理性，並且在各項控制要點的必要性與實務上的技術可行性之間取得平衡。

現階段，雲端安全認證總共區分為三個等級，第一級認證只需要自我檢核，雲端服務平臺是否符合雲端安全聯盟所公布的檢核項目即可取得，第二級認證則必須符合ISO 27001以及雲端控制矩陣的要求才能取得，第三級認證的目標是要做到線上即時的雲端服務安全把關。文⊙楊惠芬
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "韓流瘋"及" 爆爆遊樂園",
韓流瘋 及 爆爆遊樂園 不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第159波大放送) : [url=http://apk.tw/thread-293773-1-1.html人人回帖有獎勵[/url]
(第158波大放送) : 人人回帖有獎勵
(第157波大放送) : 人人回帖有獎勵
(第156波大放送) : 人人回帖有獎勵
(第155波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

**以上報告完畢**
如果可以的話,幫我評個分數或是送一多花給我^^
您的評分與鮮花,是我下次再發帖的原動力
謝謝~
====================================================
                                                                                    2013/06/23 By 游幃翔