45. 下列何項驗證「不」是專門針對雲端機房的驗證制度?
(A) CSA STAR
(B) SOC 2
(C) ISO/IEC 27017
(D) ISO/IEC 27018

答案:登入後查看
統計: A(18), B(23), C(4), D(4), E(0) #3671681

詳解 (共 1 筆)

#7256294

這題的正確答案是:

(B) SOC 2

解析

這題考的是各項資安稽核與驗證標準的 「適用範圍 (Scope)」。題目問的是哪一項「不是專門」針對雲端環境設計的。

  • SOC 2 (System and Organization Controls 2):

    • 定義: 由美國會計師協會 (AICPA) 制定,針對 「服務組織 (Service Organizations)」 的內部控制報告。

    • 適用範圍: 它的適用對象非常廣泛,包含任何提供委外服務的公司(如薪資處理、醫療申報、IT 託管、SaaS 廠商等)。雖然雲端業者(如 AWS, Azure, Google Cloud)都會做 SOC 2 來證明其安全性,但 SOC 2 本身並非專為「雲端」技術或架構所撰寫的標準,而是通用於各類服務業。

其他選項為何是「專門」針對雲端?

這些標準的名稱或內容中,都直接鎖定了 Cloud 特性:

  • (A) CSA STAR (Cloud Security Alliance Security, Trust, Assurance, and Risk):

    • 雲端安全聯盟 (CSA) 發起。它是基於 ISO 27001 並結合 雲端控制矩陣 (CCM, Cloud Controls Matrix) 所建立的驗證計畫,是目前全球公認最針對雲端安全的驗證。

  • (C) ISO/IEC 27017:

    • 全名: Code of practice for information security controls based on ISO/IEC 27002 for cloud services

    • 內容: 它是 ISO 27002 的延伸,專門針對 雲端服務 提供額外的實作指引(例如:虛擬機的隔離、雲端客戶與供應商的責任歸屬)。

  • (D) ISO/IEC 27018:

    • 全名: Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors。

    • 內容: 專門針對 公有雲 環境中的 個資 (PII) 保護所制定的標準。

0
0