隨著云應(yīng)用越來越普及，企業(yè)對(duì)於依賴程度也隨之增高，一旦服務(wù)出現(xiàn)故障，就會(huì)產(chǎn)生重大影響，因此，云安全聯(lián)盟（Cloud Security Alliance）亞太區(qū)副總裁Hing-Yan LEE認(rèn)為，政府應(yīng)該規(guī)范相關(guān)服務(wù)的緊急應(yīng)變措施，讓提供服務(wù)的CSP業(yè)者能夠有跡可循，他在HITCON Pacific 2018大會(huì)上，藉由推動(dòng)新加坡政府建立云服務(wù)中斷事故因應(yīng)（Cloud Outage Incident Response，COIR）指南背景為題，進(jìn)行經(jīng)驗(yàn)分享。

　　Hing-Yan LEE表示，因?yàn)樵品��?wù)運(yùn)作出現(xiàn)異常，導(dǎo)致采用的企業(yè)受到影響，最早可追溯到2012年6月時(shí)，日本雅虎旗下伺服器租用服務(wù)的中斷事件，共有5,698間企業(yè)存放在該服務(wù)的資料，因此損毀而無法復(fù)原。受害者不乏日本當(dāng)?shù)刂�名的企業(yè)與團(tuán)體，包含了日本新聞協(xié)會(huì)、東京桌球聯(lián)盟、長(zhǎng)野電氣鐵路公司，以及小林制藥廠等，而許多的中小企業(yè)因缺乏備份機(jī)制，致使他們建置其中的電子商務(wù)服務(wù)網(wǎng)站，無法繼續(xù)運(yùn)作。

　　後來在2015年、2017年，全球也出現(xiàn)了許多大型云服務(wù)營(yíng)運(yùn)異常的事件，其中包含了Amazon、Google、IBM，以及微軟等業(yè)者。不過相較於前述的日本雅虎案例，普遍中斷的時(shí)間從好幾天，縮短到以小時(shí)為單位，但是相同的是，這些業(yè)者往往只有告知服務(wù)出現(xiàn)異常，暫時(shí)停止運(yùn)作，然而實(shí)際的情況為何，使用者卻無從得知。

　　為了解決這樣的問題，Hing-Yan LEE說，其實(shí)已有國(guó)家首開先例，訂立相關(guān)的法律，那就是南韓的云運(yùn)算開發(fā)與用戶保護(hù)法案（Cloud Computing Development and User Protection Act），該法案於2015年9月底正式施行，要求云服務(wù)業(yè)者在異常事件發(fā)生時(shí)，必須公開揭露相關(guān)細(xì)節(jié)。

　　Hing-Yan LEE表示，他們藉由上述中斷運(yùn)作的案例，以及南韓立法的經(jīng)驗(yàn)，游說新加坡政府。而新加坡當(dāng)局也在2016年2月，由資訊通信發(fā)展局（Infocomm Development Authority）發(fā)表了相關(guān)事件的因應(yīng)指南，稱為Cloud Outage Incident Response（COIR），而到了今年4月，該單位再度更新了這份指南的內(nèi)容。

　　這份指南的內(nèi)容，著重於云服務(wù)的災(zāi)害復(fù)原（DR）與因應(yīng)措施，并且依據(jù)服務(wù)中斷影響的程度與層級(jí)，歸納出4個(gè)類別，而判斷災(zāi)害類別的依據(jù)，則有16項(xiàng)指標(biāo)，像是針對(duì)服務(wù)停止時(shí)，業(yè)者通知用戶的速度、頻率，以及公告的管道等，都是造成用戶可能能否正常維運(yùn)的評(píng)估項(xiàng)目。

　　在Cloud Outage Incident Response指南的架構(gòu)中，將云服務(wù)中斷造成的災(zāi)害分成4種類別，分別是最嚴(yán)重的系統(tǒng)層級(jí)（A類）、影響企業(yè)整體營(yíng)運(yùn)（B類）、影響企業(yè)維運(yùn)（C類），以及低度影響（D類）等。A類與B類都是屬於嚴(yán)重的情況，而後兩者則是影響較為輕微。

　　面臨云服務(wù)中斷事件的因應(yīng)，雖然我國(guó)尚未具備相關(guān)的法規(guī)可供業(yè)者遵循，不過，Hing-Yan LEE表示，目前國(guó)際上已有一些機(jī)構(gòu)推出的指南，包含了云安全聯(lián)盟自己推出的安全指南4.0版第9章（Domain 9）、美國(guó)國(guó)家標(biāo)準(zhǔn)暨技術(shù)研究院（NIST）的電腦安全事件掌控指南，以及歐洲網(wǎng)路與資訊安全局（ENISA）的云運(yùn)算優(yōu)勢(shì)、風(fēng)險(xiǎn)，與資訊安全建議事項(xiàng)等。再者，ISO 27035標(biāo)準(zhǔn)的第1與第2部分，也與這類事件的因應(yīng)有關(guān)。