雲端服務選擇與評估檢查表(checklist)

雲端服務選擇與評估檢查表(checklist)



作者 : Fred Wang 日期: 2011

企業在選擇雲端服務時，應依其雲端應用的安全性要求與企業的資訊安全政策定義選擇與評估的檢查表，下面是一份整理自網路上各文獻的檢查要點，提供企業選擇上的參考。

1.網路傳輸安全性

1.1 是否具備網路傳輸中斷之資料儲存與接續處理機制?

1.2 是否具備網路傳輸資料加密機制?


2.用戶端安全性

2.1 是否具備憑證認證機制?

2.2 是否可以特定帳號在限定電腦執行?

2.3 是否有同一帳號限定同時多少台電腦可以登入使用?

2.4 是否具備防列印，剪貼或網頁另存等機制? 是否可以限定瀏覽器Cache的使用?

2.5 是否具備防機器程式，防側錄等機制?


3 伺服器安全性

3.1 儲存數據的安全保護方案是否有能力抵禦Internet駭客和病毒的攻擊?

3.2 一旦出現重大問題時是如何恢復數據的？能在多長時間內完成資料恢復?

3.3 有沒有業務連續(Business Continuity)和災難恢復(Disaster Recovery)保障策略？

3.4 有沒有災難異地恢復方案？

3.5 能否針對災難恢復時間和災難恢復水準出具書面承諾?

3.6 在解決和處理數據恢復和備份時，是否需要用戶中斷業務操作?

3.7 是否提供用戶自行備份服務?


4.應用程式與資料安全

4.1 資料與其他企業在相同平台, 應用程式和資料的隔離方式? 有沒有安全隔離和防滲透保護策略?

4.2 如何避免因其他客戶的系統當掉而受到影響?

4.3 所有涉及用戶機密資料是否採用加密保存，即便是系統管理人員也無法得到原文?


5.資訊安全保證

5.1 能否提供IT管理員與特有權限人員的相關資訊? 與避免資料外洩之保證? (2007/11/8 新聞 : Salesforce員工遭網釣攻擊，而洩漏自己的帳號密碼，使得駭客取得Salesforce的客戶連絡人名單。)

5.2 如何進行資訊安全管制? 有沒有部署規範化的安全管理制度?

5.3 是否可由外部機構來進行稽核或進行安全認證?

5.4 是否有第三方監理或相關安全認證?


6.司法與稽核

6.1 是否從屬於伺服器放置地所在國的司法管轄? 在這些國家展開調查時，服務商是否有權拒絕提交所所託管資料?

6.2 如果企業試圖展開企業內部違法或洩密活動的調查，服務商能否協助，提供system log? Log是否方便存取或查詢?


7.隱私權 : 服務商是否會對客戶資訊進行加值處理以達行銷目的? , 例如Gmail客戶打開信件可以看到與信件內容相關的廣告連結

8.智慧財產權 : 用服務商提供的API開發應用系統, 智財之歸屬問題?

9.資料所有權 : 為資料保全問題進行客戶資料的複製, 是否經過客戶許可?

10.服務水準 : 有哪些服務等級? 服務水準如何? 7x24x365? 是否有Local Support?

11.資料移轉 : 合約中止時如何取回資料? 是否可以用一定的格式轉入替代的應用系統 ?

12.帳號管理 : 是否有人員異動，離職，工作代理等權限變動管理機制?