推行政府应为云端服务建立相关规范，云端安全联盟促使新加坡当局成立COIR指南

随着云端应用越来越普及，企业对于依赖程度也随之增高，一旦服务出现故障，就会产生重大影响，因此，云端安全联盟（Cloud Security Alliance）亚太区副总裁Hing-Yan LEE认为，政府应该规范相关服务的紧急应变措施，让提供服务的CSP业者能够有迹可循，他在HITCON Pacific 2018大会上，借由推动新加坡政府建立云端服务中断事故因应（Cloud Outage Incident Response，COIR）指南背景为题，进行经验分享。

Hing-Yan LEE表示，因为云端服务运作出现异常，导致采用的企业受到影响，最早可追溯到2012年6月时，日本雅虎旗下服务器租用服务的中断事件，共有5,698间企业存放在该服务的资料，因此损毁而无法复原。受害者不乏日本当地知名的企业与团体，包含了日本新闻协会、东京桌球联盟、长野电气铁路公司，以及小林制药厂等，而许多的中小企业因缺乏备份机制，致使他们建置其中的电子商务服务网站，无法继续运作。

后来在2015年、2017年，全球也出现了许多大型云端服务营运异常的事件，其中包含了Amazon、Google、IBM，以及微软等业者。不过相较于前述的日本雅虎案例，普遍中断的时间从好几天，缩短到以小时为单位，但是相同的是，这些业者往往只有告知服务出现异常，暂时停止运作，然而实际的情况为何，使用者却无从得知。

为了解决这样的问题，Hing-Yan LEE说，其实已有国家首开先例，订立相关的法律，那就是韩国的云端运算开发与用户保护法案（Cloud Computing Development and User Protection Act），该法案于2015年9月底正式施行，要求云端服务业者在异常事件发生时，必须公开揭露相关细节。

Hing-Yan LEE表示，他们借由上述中断运作的案例，以及韩国立法的经验，游说新加坡政府。而新加坡当局也在2016年2月，由资讯通信发展局（Infocomm Development Authority）发表了相关事件的因应指南，称为Cloud Outage Incident Response（COIR），而到了今年4月，该单位再度更新了这份指南的内容。

这份指南的内容，着重于云端服务的灾害复原（DR）与因应措施，并且依据服务中断影响的程度与层级，归纳出4个类别，而判断灾害类别的依据，则有16项指标，像是针对服务停止时，业者通知用户的速度、频率，以及公告的管道等，都是造成用户可能能否正常维运的评估项目。

面临云端服务中断事件的因应，虽然我国尚未具备相关的法规可供业者遵循，不过，Hing-Yan LEE表示，目前国际上已有一些机构推出的指南，包含了云端安全联盟自己推出的安全指南4.0版第9章（Domain 9）、美国国家标准暨技术研究院（NIST）的电脑安全事件掌控指南，以及欧洲网络与资讯安全局（ENISA）的云端运算优势、风险，与资讯安全建议事项等。再者，ISO 27035标准的第1与第2部分，也与这类事件的因应有关。