跳至主要內容

什麼是資訊安全?

建立 AWS 帳戶

頁面主題

什麼是資訊安全?

資訊安全是指保護企業所有資訊 (無論是數位資訊還是實體資訊) 的程序。組織機構保護與其營運及客戶相關資訊,以便確保其品牌聲譽、客戶信任,以及法規合規性。資訊安全概述了有助於確保所有資訊僅在獲得適當授權後,方可檢視、複製、變更或銷毀的程序、工具與技術。

資訊安全為何非常重要?

資訊安全藉由協助確保組織私有資料與業務系統的完整性、可用性,以及機密性來為組織提供支援。資訊安全之所以非常重要,有多方面的原因。

支援業務持續性

憑藉高效的資訊系統,即使在發生非預期安全事件期間,企業亦可確保對其資料與系統的存取不會中斷。業務持續性計畫涉及採用各種安全軟體,制定事件發生期間要遵循的策略,以及實作可協助保護組織的技術性保障措施。

建立客戶信任

資訊安全降低了發生非預期安全事件的可能性,從而讓企業能為其客戶提供不間斷的服務。若組織一直以來都遵守治理規範,遵循最佳實務,以及實作安全開發實務,他們可向客戶表明,其會謹慎對待使用者資料且會對使用者資料予以保護。

緩解安全風險

視乎企業營運所處產業的不同,企業可能面臨多種必須加以考慮的潛在風險。資訊安全有助於實作技術層面與程序層面的控制措施,以便管理及緩解風險。

組織可整合全新安全管理技術,從而降低發生非預期安全事件的可能性,以及改善公司管理風險的能力。

保護品牌聲譽

藉由增強品牌可靠地提供服務,保護客戶隱私權,以及滿足營運需求的能力,資訊安全可保護品牌聲譽。發生非預期安全事件可能會損害品牌聲譽;不過,高效的資訊安全實務可降低發生此情況的可能性。  

資訊安全的主要原則有哪些?

每一個企業都應遵循若干資訊安全的主要原則。

機密性

機密性可協助確保僅授權人員可存取任何私有企業資料。此原則既有技術層面,也有實體層面,因為您可對數位檔案實作存取控制項,亦可阻止未經授權人員進入辦公室。此外,機密性還可延伸至加密技術的運用、傳輸中的資料與靜態資料的安全防護,以及確保所有公司資料皆受保護。

完整性

完整性是指資料在公司整個生命週期內的準確性、可靠性與一致性。該原則旨在透過確保資料的準確性,以及在未經其擁有者知情的情況下不會被篡改來保護資料。在資訊系統中強制執行資料完整性,涉及採用數位資料簽章,使用加密雜湊,將資料存放於不可篡改的總帳中,以及在資料的整個生命週期中對其進行驗證。

可用性

可用性有助於確保授權使用者可無延遲、無中斷地存取其需要的任何資料。該原則旨在實作備份與復原策略,以便隨時可存取資料。另外,可用性還涉及防止第三方中斷,監控資料中心儲存體的運作狀態,以及在資料架構中設計容錯機制。

不可否認性

不可否認性有助於確保對資料執行的每一個操作皆可被追蹤、監控,以及記錄日誌。藉由將不可否認性嵌入資訊安全系統,企業可為每一個資料片段建立可稽核的軌跡。當使用者與資訊互動、變更資訊、存取資訊,或者核准資訊移動或變更時,在一個不可篡改的總帳中會記錄所有這些因素。

資訊保證

資訊保障是指確保任務關鍵型操作獲得支援,藉此來保護資訊系統的實務。這是一項更廣泛的原則,涉及評估與遵守 ISO 27001 等安全框架,主動管理任何新出現的風險,定期測試安全系統,以及持續監控潛在的威脅。 

什麼是資訊安全管理系統?

資訊安全管理系統 (ISMS) 定義了組織在資料的整個生命週期中,管理其資訊安全的方式。一般情況下,該系統定義人員、程序與技術協同運作的方式,以便針對企業內的所有資訊系統提供全方位的安全控制項。

資訊安全標準與框架有哪些?

做為合規計畫的一部分,國際標準與框架提供了描述性及規範性指引,旨在協助組織提供資訊與資料安全性。下面提供了部分您的組織可遵循的標準與框架範例。

ISO-27001

ISO-27001 涉及四個主要主題:組織、人員、實體與技術的安全改善。在這些類別中,每個類別皆以不同的方式來增強安全性,舉例如下:

  • 在人員主題中,針對員工開展安全培訓。
  • 在實體主題中,針對辦公室實作嚴格的存取控制政策。
  • 在技術主題中,針對靜態資料與傳輸中資料實作加密技術。

每個類別皆旨在促進資訊安全標準的提升。

  • AWS 擁有符合 ISO/IEC 27001:2022 的認證。這意味著在內部,我們系統地評估我們的資訊安全風險,並將威脅和漏洞的影響納入考慮範圍。
  • 我們設計並實作一套全面的資訊安全控制以及其他形式的風險管理措施,以解決客戶和架構安全風險。
  • 我們採用總體管理程序,以協助確保資訊安全控制能夠持續滿足我們的需求。

PCI-DSS

PCI-DSS 是另一項廣泛使用的標準,旨在協助保障任何卡的支付,包括財務資料的儲存、傳輸與處理皆以安全的方式完成。存放、處理或傳輸持卡人資料 (CHD) 及/或敏感身份驗證資料 (SAD) 的任何實體,包括商家、處理者、取得者、發行者和服務提供者,都必須依據 PCI-DSS 標準來進行認證。

您可查看 PCI DSS 目前範圍涵蓋的 AWS 服務清單。

HIPAA/HITECH

HIPAA (健康保險可攜性與責任法案) 是美國聯邦法律,旨在協助確保對個人健康資訊 (PHI) 的保護,確保資料機密性,以及阻止未經授權的披露。HIPAA 適用於「保障實體」(健康計畫、醫療保健資訊交換中心,以及以電子方式傳輸健康資訊的醫療保健服務提供者) 及其業務合作夥伴。

您可查看 HIPAA 目前範圍涵蓋的 AWS 服務清單。

FedRAMP

FedRAMP (聯邦風險與授權管理計畫) 是美國政府內部的一項計畫,提供標準方法來進行聯邦機構所用雲端產品和服務的安全評估、授權及持續監控。

您可查看 FedRAMP 目前範圍涵蓋的 AWS 服務清單。

GDPR

GDPR (一般資料保護法規) 是一項歐盟法律框架,旨在保護歐盟居民的資料。這是一項全球標準,任何企業若想要以任意方式與歐盟客戶互動,皆必須遵守 GDPR。GDPR 旨在促進資料最小化,協助確保資料收集的合法依據,並賦予使用者請求刪除其資料的權利。

AWS 客戶可使用所有 AWS 服務來依據 GDPR 規範處理上傳至 AWS 服務中他們的 AWS 帳戶 (客戶資料) 下的個人資料 (如 GDPR 中所定義)。

FIPS 140-3

FIPS 140-3 是所有在美國聯邦領域運作的機構必須採用的加密模組。該標準是 FedRAMP 的組成部分,要求公司採用廣泛的保護與預防安全措施。

AWS 依據服務提供了廣泛的 FIPS 端點。

資訊安全技術有哪些?

資訊安全計畫主要分為幾大類,協同運作以保護工作負載與應用程式。

資料保護

資料保護是指任何助力保護敏感資訊、帳戶,以及工作負載免遭未經授權存取的服務。核心資料防護服務包括對傳輸中資料與儲存中資料進行加密、金鑰管理,以及敏感資料復原。

網路與應用程式防護

網路與應用程式防護技術涉及企業在網路安全控制點部署的任意策略與政策。藉助這些技術,可確認傳入流量、篩選流量,以及阻止任何未經授權的連線存取您的網路。核心技術涉及防火牆、VPN、端點偵測,以及其他應用程式層級界限,以便增強您的網路的安全性。

身分與存取管理

藉助身分與存取管理 (IAM) 安全工具,企業可管理存取控制項,指派許可層級,以及確定哪些帳戶可存取敏感資料。身分控制項可協助確定特定帳戶擁有的存取權層級,以及在該存取層級允許其檢視及進行互動的內容。該工具關乎資料層級控制項與帳戶許可系統。

合規與稽核

合規與稽核是指遵循最佳實務、監控您的環境,以及在您的整個組織中協助確保滿足合規標準的能力。視乎您的企業所在的產業,您應稽核及遵守的確切標準有所差異。

實體安全控制項

實體安全控制項是另一種形式的存取控制,關乎實體辦公室、伺服器,以及商業空間。其涉及安全的網站設計、可用性規劃,以及實作實體存取政策。此外,實體與環境安全亦延伸至監控存取權、日誌記錄移動,以及確保維護資料的軌跡,以便企業進行稽核。 

資訊安全如何在雲端運作?

企業使用雲端服務時,安全與合規將成為雲端服務提供者與公司間的共同責任。這種雙重責任稱為共同責任模式,是指各方都必須完成其各自的任務來協助確保雲端安全。

客戶承擔管理客戶資料、平台、應用程式、身分與存取管理、用戶端資料加密,以及網路組態等任務的責任。雲端服務提供者則負責執行雲端內任何服務的基礎結構,例如雲端服務提供者執行的硬體、軟體或聯網。

共同責任的具體性質將取決於公司選擇與之協作的雲端服務提供者。該責任分割通常被理解為雲端「本身」的安全與雲端「內」的安全。

AWS 如何為資訊安全要求提供支援?

在 AWS,安全是我們的首要考量。AWS 的架構設計堪稱最安全的全球雲端基礎結構,可用於建置、移轉和管理應用程式和工作負載。這得到了我們數百萬客戶的信任,包括政府、醫療保健和金融服務等對安全性最為敏感的組織。

安全是 AWS 和客戶的共同責任。此共同模型有助於減輕客戶的操作負擔,因為從託管作業系統和虛擬化層的元件到服務運作的設施實體安全性都由 AWS 操作、管理和控制。我們支援各種安全標準與合規認證,其中包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR 及 FIPS 140-3,從而協助客戶滿足全球各地的合規要求。此外,我們讓您能夠完全掌控自己的資料,從而確定資料使用方式、資料存取者,以及資料加密方式。

AWS 安全服務能依據您在雲端開展的資安工作提供進一步支援。例如:

即刻建立一個免費帳戶,開始在 AWS 上使用資訊安全服務。