未來研究方向

本研究雖然成功建立出一個敏感且完整的雲端服務風險運作模式，

但仍然有很多缺陷之處可以做未來研究改進方向：

1. 問卷度量方式大多是主觀評級，建議能採用更實際之數據資料 降低主觀因素、或使用模糊邏輯處理這些主觀評級。

2. 本研究之模式比較僅針對 SaaS 服務模式及公有雲類型，對於其 他雲服務模式、雲類型並沒有太多著墨。

3. 雲端服務模式令使用者最擔心的是資料與程式安全問題，因此 本研究僅針對雲端服務風險做評分，並未考慮服務商之績效狀 況，研究者可建立風險與績效同時考慮之服務商評選模式。

4. 在風險管理五步驟中，本研究只聚焦在風險衡量，對於後續對 策選擇、決策實行與績效評估等步驟並沒有太多探討。

參考文獻 中文部分

 林育震(2010)，『掌控風險 發揮雲端效益』，Communications of the CCISA，16 卷 4 期，138~149 頁

 張春雄、林顯達、黃新宗、劉美芳(2003)，『風險管理』，吉田出 版社

 陳瑞&周林毅(2007)，『風險評估與決策管理』，五南圖書出版公司

 黃清賢(2003)，『危害分析與風險評估操作手冊』，新文京開發出 版股份有限公司

 蔡一郎(2010)，『雲端運算與雲端服務風險架構』，Communications of the CCISA，16 卷 4 期，84~93 頁

 賴世培、詹志禹(2011)，『應用統計(全)』，中華電視股份有限公司

英文部分

 A.Avizienis, J.Laprie, B.Randell.(2000), ‘Fundamental concepts of dependability’, In Proceedings of the 3rd Information Survivability Workshop

 A.Rosenthal, P.Mork, M.H.Li, J.Stanford, D.Koester,

P.Reynolds(2010), ‘A new business paradigm for biomedical information sharing’, Journal of Biomedical Informatics(43:2), pp.324-353.

 IBM(2009), ‘Red Book ─ Cloud Security Guidance ─ IBM

Recommendations for the Implementation of Cloud Security’, IBM

 C.S.Yoo(2011), ‘Cloud Computing: Architectural and Policy Implications’, Rev Ind Organ(38:4), pp.405-421.

 CSA(2010), ‘Top Threats To Cloud Computing’, Cloud Security Alliance

 ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency

 D.Zissis & D.Lekkas(2011), ‘Securing e-Government and e-Voting with an open cloud computing architecture’, Government Information

Quarterly(28), pp.239-251.

 European Parliament(1995), ‘Directive 95/46/EC of the European Parliament’, European Parliament

 L.Iuga(2010), ‘The Analysis Of The Correlation Between The Level Of The Bank Fees For Cards And The Number Of Active Cards,

Conducted With The Help Of The Pearson Coefficient’, Annales Universitatis Apulensis Series Oeconomica(12:1), pp.397-404.

 L.Egghe,L.Leydesdorff(2009), ‘The Relation Between Pearson's Correlation Coefficient r and Salton's Cosine Measure.＂ Journal Of

The American Society For Information Science And Technology(60:5),

 L.M.Vaquero, L.Rodero-Merino, D.Morán(2011), ‘Locking the sky: a survey on IaaS cloud Security’ Computing(91:1), pp.93-118.

 L.M.Vaquero, L.Rodero-Merino, J.Caceres, M.Lindner(2009), ‘A Break in the Clouds: Towards a Cloud Definition’, ACM SIGCOMM

Computer Communication Review(39:1), 2009, pp.50-55.

 N.Mayer, P.Heymans, R.Matulevičius(2007), ‘Design of a Modelling Language for Information System Security Risk Management’,

Proceedings of the 1st International Conference on Research

Challenges in Information Science(RCIS 2007),

 NIST SAJACC and BUC Working Groups(2011), ‘NIST US

Government Cloud Computing Technology Roadmap Volume III - Technical Considerations for USG Cloud Computer Deployment Decisions’, National Institute of Standards and Technology

 OWASP Cloud Top Ten Project(2012), ‘Cloud Top 10 Security Risks

＂, The Open Web Application Security Project

 NIST(2011), ‘NIST Definition of Cloud Computing’, National Institute of Standard and Technology

 G.Purdy(2010), ‘ISO 31000:2009—Setting a New Standard for Risk Management.＂ Risk Analysis(30:6), pp.881-886

 R.K.Chellappa & A.Gupta(2002), ‘Managing computing resources in active intranets’, International Journal Of Network Management(12:2), pp.117-128.

 S.Paquette, P.T.Jaeger, S.C.Wilson(2010), ‘Identifying the security risks associated with governmental use of cloud computing’,

Government Information Quarterly(27:3), pp.245-253.

 T.Schoenherr(2009), ‘LOGISTICS AND SUPPLY CHAIN

MANAGEMENT APPLICATIONS WITHIN A GLOBAL CONTEXT:

AN OVERVIEW’, Journal of Business Logistics(30:2), pp.1-IVV.

 Y.C.Stamatiou, E.Henriksen, M.S.Lund, E.Mantzouranis, M.Psarros, E.Skipenes, N.Stathiakis, K.Stølen(2002), ‘Experiences from using model-based risk assessment to evaluate the security of a telemedicine application’, Proceedings of Telemedicine in Care Delivery(TICD)

 L.O.Yusuf, O.Folorunso, A.Akinwale,I.A.Adejumobi(2011),

‘Visualizing and Assessing a Compositional Approach to

Service-Oriented Business Process Design Using Unified Modelling Language(UML) ‘, Computer and Information Science(4:3), pp.43-59.

雲端運算高等級風險評估問卷 符合度、Part2 弱點符合度、Part3 資 產危險度、Part4 整體危險度、Part5

完

完 全 不 同

完 全 吻 合 請評估「弱點現況與題目狀況」符合程度 1 2 3 4 5 6 7 8 9 10 13.我認為服務水平協議(SLAs)可能會和其他利害關係人

的承諾或條款產生互斥

□ □ □ □ □ □ □ □ □ □ 14.我認為服務商無法藉由稽核或認證給予客戶任何保證 □ □ □ □ □ □ □ □ □ □ 15.我認為認證計畫不適合雲端架構 □ □ □ □ □ □ □ □ □ □ 16.我認為資料被儲存在多個司法行政區，但在這件事上

缺乏透明度

□ □ □ □ □ □ □ □ □ □ 17.我認為缺少資料儲存所在地司法行政區的相關資訊 □ □ □ □ □ □ □ □ □ □ 18.我認為使用者條款缺乏完整性與透明度 □ □ □ □ □ □ □ □ □ □ 19.我認為服務商內部的角色與責任定義不明確 □ □ □ □ □ □ □ □ □ □ 20.我認為服務商內部的角色職責實行不確實(可能創造

出權力過大的管理員)

□ □ □ □ □ □ □ □ □ □ 21.我認為相關當事人知道太多非必要的細節(當事人只

要知道原則，而非所有細節)

□ □ □ □ □ □ □ □ □ □ 22.我認為技術本身有安全問題，但相關防護並不夠充分

(例如：RFID 的資安問題、無防竊聽的電磁保護裝置)

□ □ □ □ □ □ □ □ □ □ 23.我認為有人為設定錯誤(不適當的程式「安全設定、僵

化程序、人為失誤、未受訓練的管理員)

□ □ □ □ □ □ □ □ □ □ 24.我認為系統或作業系統有弱點 □ □ □ □ □ □ □ □ □ □ 25.我認為服務商的持續營運與災難復原計畫很差或缺乏 □ □ □ □ □ □ □ □ □ □ 26.我認為雲端上的資訊資產擁有權不明確 □ □ □ □ □ □ □ □ □ □ 27.我認為太少雲端服務商可以供選擇 □ □ □ □ □ □ □ □ □ □ 28.我認為缺乏生產者剩餘(服務商的利潤太少) □ □ □ □ □ □ □ □ □ □ 29.我認為應用程式具有弱點或更新檔管理粗劣 □ □ □ □ □ □ □ □ □ □

第三部分(Part3)：「資產」危險程度 非

6.請問貴公司使用的「雲端服務廠商」是(如果貴公司是雲端服務提供商請填寫「提供的服務內容」) (選填)___________________________________________________________________________________

7.若您對本研究有興趣，想獲得後續結果，請留下「e-mail」、及「稱呼」

(選填) ___________________________________________________________________________________

8.您想對本研究說的話，或提供之意見

(選填) ___________________________________________________________________________________

***本問卷到此全部結束，非常感謝您對研究的支持與協助***