Crowded Cloud e-services: Trust and Security

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
มาตรการป้องกัน.
Advertisements

ภัยคุกคามด้านความปลอดภัย
เทคโนโลยี Cloud Computing และการบูรณาการระบบ IT ในองค์กร
Electronic SECurity with PKI
Cloud Computing คืออะไร The NIST Definition nist
02:Information system e Syste m อ. ปกรณ์ วิญญู หัตถกิจ.
Software ส. อ. ประกาศิต วรนุช ไมโครคอมพิวเตอร์ วิทยาลัยเฉลิมกาณจนา บุรีรัมย์ ลิขสิทธิ์ โดย ส. อ. ประกาศิต วรนุช ไมโครคอมพิวเตอร์ วิทยาลัย เฉลิมกาณจนา บุรีรัมย์
Seminar in Information Knowledge and Technology Management ดร. ปรัชญนันท์ นิลสุข
IT Infrastructure and Emerging Technologies
ACCESS Control.
Virtual Learning Environment
Cloud Computing Security
Customer Relationship Management (CRM)
CHAPTER 1 INTRODUCTION TO JAVA WEB PROGRAMMING Wattanapong suttapak, Software Engineering, school of Information communication Technology, university of.
OSI 7 LAYER.
อาจารย์ วิทูร ธรรมธัชอารี. เนื้อหาในการเรียน  เครื่องมือในการออกแบบและพัฒนาระบบ บัญชีด้วยคอมพิวเตอร์  ความรู้เบื้องต้นเกี่ยวกับฐานข้อมูล  การวางระบบบัญชีด้วยคอมพิวเตอร์
NEW MEDIA. สื่อใหม่ คือ สื่อเก่าที่เปลี่ยนรูปลักษณ์ ภายนอก คุณเชื่อความคิดนี้หรือไม่
สรุปผลการดำเนินงาน เทคโนโลยีสารสนเทศ เขตสุขภาพที่ 11 ปีงบประมาณ 2558 คณะกรรมการเทคโนโลยีสารสนเทศ เขตสุขภาพที่ 11 คณะกรรมการเทคโนโลยีสารสนเทศ เขตสุขภาพที่
PMQA Organization 2 รหัสแนวทางการดำเนินการ การวัด การวิเคราะห์ และการปรับปรุงผลการดำเนินการ IT1 ส่วนราชการต้องมีระบบฐานข้อมูลผลการดำเนินงานตามแผนยุทธศาสตร์และแผนปฏิบัติราชการ.
Saving Cost Connection
ระบบคอมพิวเตอร์.
ศูนย์ข้อมูลกลางเพื่อบริหารจัดเก็บและใช้ประโยชน์
บทที่ 1 ความรู้เบื้องต้นเกี่ยวกับระบบและการวิเคราะห์ระบบ
บทที่ 2 ความรู้เบื้องต้นเกี่ยวกับเทคโนโลยีสารสนเทศ และระบบสารสนเทศ
การใช้ Social Media เพื่อการสื่อสาร
เทคโนโลยีสารสนเทศเพื่อชีวิต
อยู่ระหว่างดำเนินการ
Security in Computer Systems and Networks
อินเทอร์เน็ตและบริการออนไลน์
อาจารย์อภิพงศ์ ปิงยศ บทที่ 1 : Introduction to Data Communication and Computer Network Part2 สธ313 การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์ทางธุรกิจ.
การประชุมวิชาการประจำปี ศสท
Network Security : Introduction
Road to the Future - Future is Now
การใช้คอมพิวเตอร์ในสังคมสารสนเทศ
Cloud Computing.
ระบบสารสนเทศเพื่อการจัดการ * Management Information Systems
เทคโนโลยีสารสนเทศเพื่อการศึกษาค้นคว้า Information Technology for Study Skill 01/12/61.
การบริหารความปลอดภัยสารสนเทศ
การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย.
บทที่ 2 ระบบสารสนเทศเพื่อการจัดการ
Generic View of Process
การใช้ Big Data และ Artificial Intelligence (AI) ในงานสร้างสุขภาพ
อาจารย์อภิพงศ์ ปิงยศ บทที่ 1 : การรักษาความปลอดภัยข้อมูล Part3 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ
บทที่ 1 ความรู้เบื้องต้น เกี่ยวกับระบบสารสนเทศ
ประสบการณ์การทำงาน ชื่อ – ชื่อสกุล นายมานะ ครุธาโรจน์
Multimedia Production
Software Engineering ( )
แนะนำรายวิชา การออกแบบระบบการจัดการเรียนรู้บนเครือข่าย
งานระบบคอมพิวเตอร์และบริการ
บทที่ 9 การออกแบบระบบ และการออกแบบยูสเซอร์อินเตอร์เฟช
Development Strategies
แอปพลิเคชันขององค์กรในยุคอินเทอร์เน็ต
มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ
บทที่ 1 ความรู้เบื้องต้นเกี่ยวกับคอมพิวเตอร์
เทคโนโลยีสารสนเทศและการสื่อสาร ของธุรกิจขายสินค้าออนไลน์
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC และ ISO/IEC
Network Security : Introduction
อาจารย์อภิพงศ์ ปิงยศ บทที่ 2 : การรักษาความปลอดภัยข้อมูล Part1 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ
บทที่ 2 การบริการบนระบบประมวลผลแบบกลุ่มเมฆ (Cloud Computing Service)
อาจารย์อภิพงศ์ ปิงยศ บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ
Injection.
อ.พิณรัตน์ นุชโพธิ์ คณะวิทยาการจัดการ มหาวิทยาลัยราชภัฏพิบูลสงคราม
การพัฒนา IT ให้บูรณาการเข้ากับโครงสร้างและระบบงาน
นายเกรียงไกร แก้วมีศรี ผู้อำนวยการโรงเรียนเมืองสุราษฎร์ธานี
Introduction to Structured System Analysis and Design
บทที่ 3 การให้บริการซอฟต์แวร์ Software as a service(SaaS) 3.1 ความหมาย
บทที่ 7 การใช้คอมพิวเตอร์ในสังคมสารสนเทศ
CPU and I/O bursts.
บทที่ 5 การให้บริการโครงสร้างพื้นฐานInfrastructure as a service (IaaS)
บทที่ 2 ระบบเครือข่ายและอินเทอร์เน็ต
ใบสำเนางานนำเสนอ:

Crowded Cloud e-services: Trust and Security สุรางคณา วายุภาพ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) 12 ก.ย. 2555

หัวข้อ Cloud (คลาวด์) และบริการด้านสารสนเทศ ทำไมคลาวด์จึงมีแนวโน้มที่จะได้รับความนิยม การรักษาความมั่นคงปลอดภัยระบบสารสนเทศขององค์กร ในกรณีที่ใช้บริการคลาวด์ ประเด็นที่ผู้ใช้บริการควรตระหนัก ความน่าเชื่อถือและข้อกำหนดทางกฏหมาย ความพยายาม: มาตรฐานสำหรับผู้ให้บริการคลาวด์

Cloud (คลาวด์) Cloud คือ – “…a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction. “ (จากเอกสาร SP800-145 ของ NIST) หรือตามที่เข้าใจกันโดยทั่วไป คือ – “the use of computing resources (hardware and software) that are delivered as a service over a network (typically the Internet)” (จาก wikipedia ก.ย. 55)

บริการด้านสารสนเทศ กับ เทคโนโลยีคลาวด์ Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS) Storage as a service (STaaS) Security as a service (SECaaS) Data as a service (DaaS) Test environment as a service (TEaaS) Desktop as a service (DaaS) API as a service (APIaaS) IaaS = ให้บริการเครื่องแม่ข่ายและเครือข่าย PaaS = เครื่องแม่ข่ายที่มี OS แล้ว SaaS = ให้บริการ Application เช่น Email, Blog STaaS = ให้บริการพื้นที่เก็บข้อมูล เช่น Dropbox, iCloud (Apple) SECaaS = ให้บริการระบบรักษาความมั่นคงปลอดภัย DaaS = ให้บริการเนื้อข้อมูล (ไม่ใช่ที่เก็บข้อมูล) TEaaS = ให้บริการระบบทดสอบ เช่นเครื่องแม่ข่ายสำหรับทดสอบ Application DaaS = Virtual Desktop ในลักษณะคล้ายกับ Thin Client APIaaS = API = Application Programming Interface ใช้สำหรับให้ Application เรียกใช้งาน APIaaS จะมีลักษณะคล้าย Web service รวมแล้ว Cloud สามารถให้บริการได้แทบทุกอย่างที่มีอยู่ในระบบสารสนเทศทั่วไป ที่มา: http://en.wikipedia.org/wiki/Cloud_computing

ทำไมคลาวด์จึงมีแนวโน้มที่จะได้รับความนิยม On-demand ผู้ให้บริการเป็นผู้ลงทุนในโครงสร้างพื้นฐานของบริการ ผู้ใช้จ่ายค่าบริการตามความจำเป็นในการใช้บริการ ผู้ใช้งานสามารถเปลี่ยนแปลงรูปแบบและขนาดของบริการได้ตามความต้องการ เช่น การเพิ่มจำนวน CPU ขนาดหน่วยความจำ หรือเพิ่มระบบสำรองได้ตามภาระงานที่เปลี่ยนแปลง Shared resources ลดต้นทุนในการดำเนินการของผู้ให้บริการ เนื่องจากเทคโนโลยีรองรับให้ผู้ให้บริหารสามารถจัดการทรัพยากรอย่างมีประสิทธิภาพ เช่น เทคโนโลยี Virtual Machine เทคโนโลยีการแบ่งการประมวลผล (Dynamic Workload) เป็นต้น Rapidly provisioning with minimal effort ระยะเวลาในส่งมอบบริการให้กับผู้ใช้บริการน้อยลง เนื่องจากมีอุปกรณ์ฮาร์ดแวร์จัดเตรียมไว้พร้อมให้บริการแล้ว ผู้ใช้บริการสามารถสั่งงานและควบคุมบริการที่ใช้งานได้ด้วยตนเอง (ส่วนใหญ่เป็นลักษณะ Customer Self-service) ที่มา: เอกสาร NIST SP800-145 Definition of Cloud Computing, ก.ย. 54

การรักษาความมั่นคงปลอดภัยระบบสารสนเทศขององค์กร Internet องค์กรออกแบบและบริหารจัดการระบบรักษาความมั่นคงปลอดภัยเองทั้งหมด เช่น ISMS – นโยบาย, ข้อปฏิบัติ ด้านกายภาพ – เจ้าหน้าที่รักษาความปลอดภัย ห้องมั่นคง ด้านเทคนิค – Anti-virus Firewall IDS IPS SIEM Honeypot เป็นต้น ข้อมูลและสินทรัพย์ด้านสารสนเทศทั้งหมดอยู่ในพื้นที่ที่องค์กรควบคุมได้ทั้งหมด รูปแบบดั้งเดิมของระบบในองค์กร ที่องค์กรเป็นเจ้าของระบบเครือข่าย และเครื่องแม่ข่าย ข้อมูลที่สำคัญจะอยุ่ภายในพื้นที่ที่สามารถควบคุมดูแลได้ 100% สามารถติดตั้งระบบป้องกัน หรือควบคุมนโยบายการปฏิบัติงานกับข้อมูลได้โดยอิสระ Firewall ทำหน้าที่ป้องกันการโจมตีผ่านช่องทางบริการเครือข่ายที่ติดต่อกับอินเทอร์เน็ต IDS – Intrusion Detection System ทำหน้าที่ตรวจจับภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศขององค์กร IPS – Intrusion Prevention System ทำหน้าที่ป้องกันและระงับภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศขององค์กร SIEM (เอส ไอ อี เอ็ม) – Security Information and Event Management ทำหน้าที่วิเคราะห์ภัยคุกคามที่เกิดขึ้นกับข้อมูล Log ของระบบสารสนเทศขององค์กร

การรักษาความมั่นคงปลอดภัยกับระบบสารสนเทศขององค์กร Internet ข้อมูลขององค์กรอยู่ในระบบที่ดูแลและบริหารจัดการโดยผู้ให้บริการคลาวด์ ซึ่งเป็นระบบที่มีใช้งานร่วมกันหลายองค์กร เจ้าของข้อมูลไม่สามารถควบคุมหรือแม้แต่รับทราบได้ ระบบรักษาความมั่นคงปลอดภัยขององค์กร ไม่สามารถปกป้องข้อมูลสารสนเทศขององค์กรในบริการคลาวด์ได้ เนื่องจากข้อมูลสารสนเทศขององค์กรอยู่นอกขอบเขตขององค์กร ในรูปแบบ Cloud ข้อมูลขององค์กรที่ขึ้นไปอยู่ใน Cloud แล้ว อาจไม่สามารถระบุได้แน่ชัดว่าไปอยู่ที่ใด หรือยู่ภายใต้ระบบใด ถึงแม้มุมมองของผุ้ใช้งานจะไม่เปลี่ยนแปลง แต่ความมั่นคงปลอดภัยของข้อมูลอาจเป็นสิ่งที่ต้องพิจารณาว่า ข้อมูลนั้นได้รับการปฏิบัติจากผู้ให้บริการอย่างเหมาะสมหรือไม่ การกระจายของข้อมูลไปตาม Node ต่างๆ ของผู้ให้บริการนั้นก็อาจเกิดขึ้นได้ เนื่องจากผู้ให้บริการต้องการ Redundancy/High Availability จะมีโอกาสหรือไม่ที่บาง Node อาจมีความมั่นคงปลอดภัยที่ด้อยกว่า หรือการเคลื่อนที่ของข้อมูลอาจทำให้ข้อมูลรั่วไหล หรืออาจเกิดการเปลี่ยนแปลงในข้อมูลอย่างไม่พึงประสงค์ได้

ประเด็นที่ผู้ใช้บริการควรตระหนัก Gartner การลักลอบเข้าถึงข้อมูลโดยผู้ดูแลระบบ ความสอดล้องกับข้อกำหนด และมาตรฐาน ความมั่นคงปลอดภัยในการจัดเก็บข้อมูลของผู้ใช้บริการ การควบคุมการเข้าถึงระหว่างผู้ใช้บริการด้วยกัน การกู้ข้อมูล การตรวจสอบในกรณีที่เกิดปัญหาด้านกฎหมาย เช่นการทำ Digital Forensics ความสามารถในการย้ายระบบสารสนเทศเมื่อจำเป็นต้องเปลี่ยนผู้ให้บริการ Microsoft ความพร้อมใช้งานของระบบเครือข่ายขององค์กรที่ใช้เข้าถึงบริการคลาวด์ ความเชี่ยวชาญของผู้ให้บริการ การกู้ข้อมูล และแผนความต่อเนื่องทางธุรกิจ ความสามารถในการรับมือกับเหตุฉุกเฉิน ความน่าเชื่อถือ และความโปร่งใสของการบริหารจัดการบริการคลาวด์ การเข้าถึงข้อมูลของผู้ให้บริการ รวมถึงการเข้าถึงทางกายภาพ (Physical access) การลักลอบเข้าถึงโดยผู้ดูแลระบบ - ผู้ดูแลระบบจะเข้าถึงข้อมูลของหน่วยงานรัฐโดยมิชอบได้หรือไม่ ความสอดล้องกับข้อกำหนด และมาตรฐาน จากที่กล่าวไปแล้วว่า มาตรฐานและข้อกำหนดต่างๆ จำเป็นต้องมีการปรับเพื่อให้สอดคล้องกับรูปแบบของ Cloud การจัดเก็บข้อมูลของผู้ใช้บริการ ข้อมูลที่อยู่ใน Cloud แท้จริงอยู่ที่ใด มีความมั่นคงปลอดภัยหรือไม่อย่างไร การควบคุมการเข้าถึงระหว่างผู้ใช้บริการด้วยกัน เนื่องจากเป็น Shared environment การกำหนดสิทธิ์ระหว่างผู้ใช้บริการแต่ละรายใช้วิธีใด มีความมั่นคงปลอดภัยระดับใด หากหน่วยงานของรัฐใช้บริการ Cloud อยู่ เอกชนที่ใช้งาน Cloud เดียวกันสามารถเข้าถึงข้อมูลของรัฐโดยมิชอบได้หรือไม่ การกู้ข้อมูล ถ้ามีความจำเป็นต้องกู้คืนข้อมูล สามารถทำได้หรือไม่ ระดับใด (กู้บางส่วนได้หรือไม่ หรือต้องกู้ทั้งหมด) การตรวจสอบในกรณีที่เกิดปัญหาด้านกฏหมาย วิธีการสืบสวนโดยอาศัยหลักฐานทางดิจิทัลบน Cloud จะต้องอาศัยแนวคิดที่แตกต่างจากระบบปกติ เนื่องจากข้อมูลที่อยู่บนระบบไม่มีสถานที่อยู่แน่ชัด ความสามารถในการย้ายระบบ - หากผู้ให้บริการมีปัญหา เช่นเลิกกิจการ หรือมีการเปลี่ยนแปลงที่หน่วยงานของรัฐที่ใช้บริการจะต้องย้ายระบบของตนเองออกไป สามารถทำได้หรือไม่ ยากง่ายอย่างไร ที่มา: http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 ที่มา: http://technet.microsoft.com/en-us/magazine/hh536219.aspx

บริการคลาวด์ : ความน่าเชื่อถือและข้อกำหนดทางกฏหมาย มาตรฐาน หรือข้อกำหนดด้านความมั่นคงปลอดภัย ยังไม่ครอบคลุมบริการคลาวด์ ISO/IEC 27002:2005 Information Security Management System NIST SP800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems ประกาศแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ จะพบข้อสังเกต เช่น การควบคุมการเข้าถึงของผู้ใช้งาน (User access management) เป็นไปได้ยาก หรือมีประเด็นที่อาจเป็นข้อสงสัยได้ว่า มีผู้อื่นสามารถเข้าถึงข้อมูลได้หรือไม่ เนื่องจากเป็นรูปแบบ Shared environment การแบ่งแยกเครือข่าย (Segregation in networks) ไม่สามารถทำได้โดยสมบูรณ์ เนื่องจากส่วนใหญ่บริการคลาวด์พึ่งพิงบริการเครือข่ายอินเทอร์เน็ตในการเข้าถึงบริการ Privacy เป็นประเด็นที่สำคัญ การควบคุมการเข้าถึงของผู้ใช้งาน (User access management) เป็นไปได้ยาก หรือมีประเด็นที่อาจเป็นข้อสงสัยได้ว่า มีผู้อื่นสามารถเข้าถึงข้อมูลได้หรือไม่ เนื่องจากเป็นรูปแบบ Shared environment การแบ่งแยกเครือข่าย (Segregation in networks) อาจไม่สามารถทำได้โดยสมบูรณ์ เนื่องจากเป็น Shared environment ดังที่กล่าวแล้ว

มาตรการความมั่นคงปลอดภัยด้านสารสนเทศตามกฎหมาย พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ ๒๕๔๔ มาตรา ๓๕ หน่วยงานโครงสร้างพื้นฐาน/หน่วยงานของรัฐ มาตรา ๒๕ วิธีการแบบปลอดภัย พ.ร.ฎ. การกำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ ๒๕๔๙ พ.ร.ฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ ๒๕๔๙ มาตรา ๓๕ หน่วยงานภาครัฐ มาตรา ๒๕ หน่วยงานที่ถือเป็นโครงสร้างพื้นฐานฯ ประกาศ คกก. เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานภาครัฐ ๒๕๕๓ ISO/IEC 27001:2005

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (มาตรา ๗) (๑) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ (๒) การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ในส่วนการบริหารจัดการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือองค์กร (๓) การบริหารจัดการทรัพย์สินสารสนเทศ (๔) การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (๕) การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (๖) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ (๗) การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ (๘) การจัดหาหรือจัดให้มี การพัฒนา และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ (๙) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจคาดคิด (๑๐) การบริหารจัดการด้านการบริการหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง (๑๑) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ISO/IEC 27001:2005 ไม่มีข้อไหนพูดถึง cloud security เลย

ความพยายาม: มาตรฐานสำหรับผู้ให้บริการคลาวด์ การตรวจประเมิน SAS 70 Type II Statement on Auditing Standards พัฒนาโดย American Institute of Certified Public Accountants (AICPA) เน้นการรายงานประสิทธิภาพ (Effectiveness) ของมาตรการด้านความมั่นคงปลอดภัยกับบริการคลาวด์ SANS ระบุว่ายังอาจไม่เพียงพอในการรับรองความมั่นคงปลอดภัย CloudAudit A6: Automated Audit, Assertion, Assessment, and Assurance เสนอแนวทางในการตรวจประเมินและรับรองที่เป็นมาตรฐาน สำหรับผู้ให้บริการคลาวด์ อาศัยมาตรการด้านความมั่นคงปลอดภัย 98 ข้อของ Cloud Security Alliance (CSA) ISO 27001/27002 ข้อกำหนดบางส่วนสามารถนำมาประยุกต์ใช้ได้ เช่น การใช้บริการสารสนเทศจากหน่วยงานภายนอก เนื่องจากเป็นรูปแบบที่ใกล้เคียงกับบริการคลาวด์มากที่สุด มาตรฐานการตรวจประเมินใน Cloud สำหรับองค์กรผุ้ใช้งาน Cloud อาจเที่ยบเคียงได้กับการใช้บริการ IT จากหน่วยงานภายนอก ซึ่งต้องมีการพิจารณาสัญญาการให้บริการ จาอย่างไรก้ตาม ในแง่มุมของผุ้ให้บริการแล้ว การตรวจประเมินเพื่อรับรองความน่าเชื่อถือของการให้บริการอาจมีรายละเอียดที่ต่างออกไป เพราะรูปแบบการทำงานของ Cloud มีความซับซ้อนกว่ารูปแบบของ Infrastructure ปกติมาก

ขอบคุณ