云端风险评估风险的十项准则和架构CloudRisk—10-ISACA.PDF

雲端風險─評估風險的十項準則和架構 Cloud Risk—10 Principles and a Framework for Assessment 作者：David Vohradsky, 引起高度重視。 雲端運算(特別是「軟體即服務」 CGEIT,CRISC, is a principal (SaaS)之範疇)在企業內部發展之效益 文獻回顧 consultant with Tata 已是相當著名而顯而易見的，其中包 Consultancy Services and 過去數年來已有許多文獻探討雲 has more than 25 years of 含了快速配置、客製化變得更容易、 端運算相關的議題，如雲端運算的風 experience in the areas of 降低建構及測試上的投入及專案風險 applications development, 險暴露、雲端運算之導入以及建置雲 program management, 的減少。而同樣著名的還有「基礎建 information management 端運算應注意的內部控制要點。其中 and risk management. 設即服務」 (IaaS)所帶來的效益，包含 大部分文章已對於基本安全作考量， He has worked in senior 成本的減少、支出從資本層面移轉至 management and consulting 惟對於評估整體IT風險仍尚缺乏一完 across multiple industries, 營運層面以及增進企業靈活度。然而， 整之架構。 adapting, implementing and 由於各產業缺乏一個對於風險辨認及 utilising industry frameworks and ensuring compliance 評估的完整架構，造成現今仍難以對 據傳，國際標準化組織( 特別是 with regulatory requirements. 於雲端運算之風險有一共識。除此之 ISO/IEC JTC 1/SC27)正開始著手針對 Vohradsky specialises in governance, risk and 外，企業更因為缺乏瞭解和明確的指 雲端運算相關服務之風險管理訂定一 compliance within TCS’s 正式標準，而雲端遷移本身實際上也 Global Consulting Practice, 引而對於雲端運算的導入顯得窒礙難 is a member of the ISACA 行。矛盾的是，對於小型及中型企業 尚未成熟，正如同現有的產品及服務 CGEIT Test Enhancement Subcommittee, and an 來說，導入雲端運算卻是一個有效降 正逐漸成熟，而新的產品及服務也如 external thesis examiner 低風險的方式。舉例來說，導入雲端 同雨後春筍般冒出。如近期新推出的 for the Doctor of Business Administration at Charles 運算能夠有效降低伺服器錯誤配置之 數據即服務 (DaaS) 以及提供現今尚未 Sturt University (Australia). 可能或是無效率補丁管理導致系統遭 出現的中介、監督、轉型和移植、治 譯者 :周濟群台北商業技術學, 受攻擊的可能性，以及可降低由於無 理、供應及整合相關的雲端服務。 院會計資訊系副教授 電腦稽, 法有效利用可攜式移動裝置所造成的 2009年歐洲網路及資訊安全公司 核協會編譯出版委員會委員