-
-
一、組織應依所使用之雲端服務模式,對雲端服務提供者執行盡職調查及定期審查程序,評估雲端服務提供者之服務水準、備援機制、資料銷毀機制、資源邏輯區隔機制、日誌留存機制、資通安全防護能力、資通安全事件通報責任管理、業務持續運作與災難復原能力、受託業務之專業知識與資源、財務健全、內部控制及符合法規要求等項目是否可符合需求,若有不符合需求之處,應考量其他補償性措施。
-
二、委由雲端服務提供者處理之資料,組織應保有完整所有權,除執行受託作業外,應確保雲端服務提供者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
-
三、組織為確保於服務結束時,可將系統遷移或資料遷出雲端服務,應評估雲端服務提供者可滿足下列雲端互通性和可移植性需求:
-
(一)雲端服務提供者可提出應用程式及資訊處理之互通性與可移植性需求說明文件供組織參考。
-
(二)雲端服務提供者使用業界常見之虛擬化平台、虛擬機檔案格式、資料檔案格式,以確保互通性。
-
(三)雲端服務若涉及應用程式介面存取服務,雲端服務提供者宜使用開放或已公開之應用程式介面(API),以確保應用程式元件可以較容易地轉移。