Grant Thornton正大专栏－云端网路安全风险管理

为了因应最近推出的欧盟个人资料保护法（GDPR）等新资料保护规定，许多业者都需要提升更高的资讯安全防护。对于每间公司来说，采用新的云端技术服务，也可能带来新的风险，还是要保持谨慎。

在现今的网路环境中，没有什么可以保证百分百安全的，我们应该意识到云端技术可能带来的一切风险利弊，多花一些时间来识别这些云端供应商，是否有真有制定可靠的资安防护策略，所以关键就是要尽最大可能降低这些风险，才能更安全的体验云端服务，我们可以从以下二点开始着手：

一、评估我们的需求

在找到合适的云端供应商之前，我们需要确定哪些资料需要上传到云端，哪些资料要保留在我们自己的机房中。进行这样的分类时，我们需要先制定档案相关性、敏感性以及保护档案所需的政策，从这里我们可以决定将哪些资料保留在公司内，或要储存在云端，还是完全删除。例如，我们可能会选择将敏感的资料储存在公司内（如研发或专利资料）；再来，我们需要选择最适合的安全措施，实体安全（如室内环境、刷卡门禁、摄影机等）、公司内部保密流程（如员工资安教育训练、公司营运计划等）、销毁不需要的资料、以及采用技术措施（如加密技术、防火墙等）。

二、云端供应商水准参差不齐

许多公司采用云端储存资料，是因为对于资料存放的地点及备份方面来说，比传统的网路储存更安全，但使用云端服务并不能完全保证我们的资料绝对不会外泄或被窃取。与大多数的商品一样，费用最低的供应商通常会带来较大的风险，我们务必要提早进行规划，确认我们所需要的安全等级，并找到可以提供这些充足防护的供应商。即使选择了高端供应商，也无法绝对保证我们资料的安全，这一点的认知很重要。

在确认我们所需的服务后，要确认的是供应商的义务和责任范围，例如技术安全措施、规则的透明度、法律责任等，并同时了解我们自己的义务，提早提出正确的问题并弄清所有不明的细节，同样也是重要的。如果对方可以在我们的预算内，且可以针对我们担忧的弱点来填补资料安全漏洞，那么我们可能已经找到了合适的供应商。

最后，当我们每次使用这些新型态的网路服务时，都是给骇客创造新的攻击目标；同样的，我们在使用这些新服务前，也都必须先识别新的风险，并确保我们具有适当的额外保护措施，为了能在新科技时代中保持竞争力，公司需要不断拥有新技术，但也务必自我谨慎及选择，以获得最佳结果。

（本文作者Grant Thornton Taiwan正大联合会计师事务所经理）