議題觀點

資料上雲端就無後顧之憂了嗎?

勤業眾信風險管理諮詢(股)公司/溫紹群資深執行副總經理、許梅君協理、李界寬經理

根據勤業眾信於2020年發布之「2021全球高科技、媒體及電信產業趨勢預測」,遠距醫療看診、雲端服務、企業與教育的數位實境模式、智慧邊緣運算為2021年四大成長趨勢,且雲端運算為目前眾多新興科技如人工智慧(AI)、大數據(Big Data)、物聯網(IoT)等之重要基礎。此外,各國政府也相繼推出多樣的政府雲服務,根據Gartner的調查,全球公有雲服務市場規模於2019年超過新台幣5兆元,相較於2018年市場規模成長約17%,可見企業已充分意識到雲端運算所能帶來的提效、降本的優勢,持續提高雲端服務的使用意願。

享受上雲效益的同時,別忘了環顧四周的潛藏風險

企業在享受雲端服務所能帶來的各項效益的同時,隱藏在雲端服務下的潛在風險亦應被高度重視,如今年3月歐洲雲服務商OVH資料中心發生火災且全毀,連帶影響附近兩座資料中心無法運作,造成360萬個網站停擺,且有部分企業營運資料無法復原;此外,近年來有些許因雲服務設定不當,導致企業資料外洩的狀況。勤業眾信建議企業應從法律合規、維運管理、數據安全、營運中斷、委外管理等風險面向檢視,目前營運環境是否已存在相關風險議題:

法律合規風險

由於採用雲服務的解決方案,可能涉及多個國家或地區,且各國對於雲服務及資通訊技術所制定之相關法令規範有所不同,例如個人資料保護管理、資訊安全等法令;特定產業亦有制定不同的產業規範,例如金融業、電信業等,若未能有效識別組織適用之要求,可能無意的觸碰法規紅線而造成營收損失。

維運管理風險

當企業系統及相關資源上雲後,雲環境內資源之異動及維運管理方式,與組織內既有資訊環境維運作業將有較大的差異;此外,若為集團採用雲服務模式,亦應考量集團內各單位共享服務及對應計量計價機制之運作方式。

數據安全風險

因雲服務為資源池的概念,組織於資源池中存取大量的資源與數據,除組織既有資訊安全管理機制外,若未有從數據管理生命週期的角度完善考量控管機制,可能導致雲上租戶數據誤用、誤刪、竊取的狀況。

營運中斷風險

雖採用雲服務可快速地進行備份或遷移,但當資訊環境發生重大事故或災害,雲服務基礎環境受到影響時,若未有從業務的角度制定營運持續計畫及緊急應變計畫,並落實對應之備援與備份的措施,可能造成資訊服務中斷,甚至組織營運中斷的重大風險。

委外管理風險

組織除了於自有機房環境建設私有雲外,大多組織亦會採用公有雲服務,在責任共擔原則(Shared Responsibility Model)下,若未能於與雲服務商合約內載明彼此之權利義務,如資訊安全、數據保護、復原與遷移、服務水準等責任畫分,可能讓組織暴露在不甚穩定的環境下。

由上可知,採用雲服務所帶來的衝擊並不僅止針對資訊單位,對於企業整體營運上亦可能產生影響,因此如何透過完善的治理架構來降低潛在的風險為當務之急。

從組織策略面及管理面切入,識別上雲策略及優先強化重點

企業上雲的治理議題應站在企業營運的高度,從組織策略規畫及對應管理面向,充分識別組織應強化的重點,並規畫未來推動藍圖及對應計畫,協助組織於採用雲服務的過程中,持續降低潛在的風險議題。例如組織內是否所有系統都適合上雲,若預計上雲,系統須要進行多少的改造才能發揮雲服務的效益。抑或是,當組織採納雲服務後,對於現行的維運方式如開發生命週期、容量預測與監控方式,是否會須要做對應的強化,才能確保組織運行順遂。

勤業眾信基於過往輔導企業導入與建置雲服務的經驗,建議整體雲治理框架由多維度、多面向的框架構成,包含「上雲策略管理」、「雲服務管理」、「企業風險管理 - 資訊安全」、「企業風險管理 - 個資保護」等四大面向,如下圖所示,以下將就各面向內涵摘要說明。

上雲策略管理

在採用雲服務之前,企業應先考量組織目標與願景,評估哪些系統、數據及相關資源適合上雲,並識別出資源特性,依照不同的特性制定對應之上雲策略,例如目前業界較多採用的6R策略,包含Re-host、Re-platform、Re-factor、Re-purchase、Retire及Retain等。

雲服務管理

基於雲服務之五大基本特性(隨需應變自助服務、隨時隨地用任何網路裝置存取、多人共享資源池、快速重新部署靈活度、可被監控與量測的服務),組織應從用戶層級、服務層級及資源層級,思考提供雲服務及維運過程的相關管理機制,串聯性強化資源運用效能、共享服務架構及用戶服務機制。

企業風險管理 - 資訊安全

在雲服務環境維運過程中,相較於傳統資訊安全環境,雲服務環境應從安全治理、數據安全、應用系統安全、平台安全、基礎設施安全、實體安全等議題著手思考,尤其雲平台安全涉及多租戶管理機制、虛擬化安全強化等較多資訊人員尚未接觸的領域,更是採用雲服務下須被高度關注的議題。

企業風險管理 - 個資保護

採用雲服務的過程中,當組織將個人資料傳輸至公有雲環境時,如前所提之各國個資保護合規議題皆應被識別,並於個資保護生命週期之控管措施內完善考量,包含個資識別、存取、傳輸、備份及銷毀等五大重要階段,並基於合規要求進行適當之個資衝擊評估(Data Protection Impact Analysis, DPIA),藉以確保善盡用戶個資之良善管理意圖。

不論企業是否已經導入雲服務或是正在評估導入的可行性,於全球新興科技蓬勃發展的趨勢下,將有更多的企業願意借力於雲服務的能量,持續推動業務發展並期望帶來更多的營收與利益,企業於上雲過程仍有許多風險須被識別與關注。如莊子語錄中所言,「謹慎能捕千秋蟬,小心駛得萬年船」,組織應基於本文所建議之治理框架思考,如何訂定切實可行的計畫與機制,並充分利用雲服務所帶來的優勢,在利與弊之間取得平衡點,實現企業最終的目標與願景。

 

(本文已節錄刊登於2021-04-12《數位時代》:https://www.bnext.com.tw/article/62220/data-cloud-privacy-april

是否找到您要的資訊?