德國法院判決，網站上“連絡我們（Contact-Formula）”非屬德國電信服務法第5條規定之電子聯繫資訊

　　歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎，並作為後續發展相關方案與措施之基準點。 　　由於廣泛應用於各個領域，智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此，了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果，以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景，並提出以下可以廣泛運用之智慧聯網安全措施與實作: 　　(一) 資訊系統安全治理與風險管理 　　包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。 　　(二) 生態系管理 　　 包含生態系繪製以及各生態系的關聯。 　　(三) IT安全建築 　　 包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。 　　(四) IT安全管理 　　帳戶管理與資訊系統管理之相關安全措施。 　　(五) 身分與存取管理 　　有關身分確認、授權以及存取權限之安全措施。 　　(六) IT安全維護 　　有關IT安全維護程序以及遠端存取之安全措施。 　　(七) 偵測 　　包含探測、紀錄日誌以及其間之關聯與分析之安全措施。 　　(八) 電腦安全事件管理 　　資訊系統安全事件分析與回應、報告之資安措施。

從國際體育項目認定方式觀電子競技正名 資策會科技法律研究所 法律研究員　丘瀚文 104年12月 壹、前言 　　電子競技目前仍無統一定義，本文對其定義是「利用電子設備，使參與者能在虛擬的空間中進行之競賽活動」。2015年10月26日臺北市產發局局長私下拜會教育部體育署，請求體育署將電子競技正名為體育項目，教育部雖未給予肯定回答，僅回覆需經由國際奧林匹克委員會(International Olympic Committee，下稱：國際奧會)及中華奧林匹克委員會認可，電子競技方能成為正式運動項目，可知電子競技已開始獲得官方注意[1]。 　　為何電子競技需要正名為體育項目？蓋現行電子競技選手多為年輕族群，常面對兵役、學業兩大方面問題，其中又以兵役問題影響最大，選手除了必須以延畢的方式躲避兵役，且無法至其他國家電子競技戰隊長時間服務，否則可能違反妨害兵役治罪條例之核准出境期限問題[2]。又現今社會普遍對於電子競技認識仍停留玩樂的印象，而並非產業鏈，此點造成電子競技贊助與推廣困難重重；而電子競技獲正名體育項目後，電子競技之贊助企業得依法減稅[3]，可吸引更多廠商投資產業鏈，對整體電子競技產業推廣而言將獲益匪淺[4]。 　　既已得知電子競技正名體育項目重要性，故以下便從「體育項目認定依據」與「體育項目認定要件」兩方面分析之。 貳、評析 一、我國體育項目認定依據 　　依體育署2015年10月26日之新聞稿，我國當前推展運動政策主軸仍以發展奧運、亞運運動項目為優先考量，故對於「電子競技」列為運動項目的議題，該署認為尚須得國際奧會與國際單項體育總會聯合會(SportAccord，下稱：單體總會)認可方得為之[5]。 　　惟查我國體育法並無體育項目認定一詞，上開說法並無法令依據，其論述基礎應為教育部所提出之體育運動政策白皮書所稱「……目前我國體育政策目標為提升我國國際競技運動水準，故以奧運、亞運項目為主去做選手培育與全民推廣，因而體育發展重點集中傳統體育項目上」[6]。在此前提下，電子競技欲獲承認為正式體育項目，實僅須我國體育政策變更，體育項目之認即毋庸與國際奧會與單體總會之認定連結。惟現今政策尚未更改，以下便依現行政策，研析國際奧會與單體總會對於體育項目之認定標準，並對電子競技是否符合國際認定體育項目標準進行分析。 二、國際奧會與單體總會認定體育項目要件 　　我國於政策上要求體育項目需經由國際奧會與單體總會承認者方得成為我國正式體育項目，故以下即就國際奧會與單體總會體育項目認定標準進行研析。 (一)國際奧會體育項目之認定門檻 　　奧林匹克運動會競賽項目分為夏季與冬季，其設置和取消均由國際奧會全體委員決定。依據2002年國際奧會所發佈之奧林匹克計畫和建議，可列入夏季奧林匹克運動會計畫的新項目必須符合至少4個洲75個國家發展男子體育項目、至少3個洲40個國家發展女子體育項目；而冬季奧運會比賽項目則須至少有3個洲25個以上國家發展體育項目，方得列為冬季奧林匹克運動會項目[7]。 (二)單體總會體育項目之認定標準 　　單體總會是受少數受到國際奧會認可的國際性體育組織，在國際間管轄一項或多項動項目，並管轄區域性國際運動總會，如國際籃球總會FIBA、國際足球總會FIFA、國際游泳聯合會；其主要任務是負責運動項目的技術監督和行政管理方面的工作，具體作用則是制訂並推廣運動計畫並保證該運動計畫在全世界的開展[8]。 　　單體總會將運動分為心智、肢體、機動性、協調性、動物駕馭5大類，而所有運動均應包含如下5個要件[9]： 1.該項運動必須包含競爭的成分。 2.該項運動不能存有任何「運氣」成分。 3.該項運動不應對運動員或參與者的健康與安全造成過度的風險。 4.該項運動不能傷害任何生物。 5.該項運動不得僅依賴單一供應商所提供的設備。 三、電子競技通過國際體育項目審查的可能性 　　目前全球有正式法規、行文認可電子競技為正式運動項目的國家僅有中國、韓國、義大利、馬來西亞及美國，仍未達較低門檻之冬季奧運會承認項目標準，即3個洲合計25個以上國家發展體育項目，故目前電子競技恐無法通過國際奧會體育項目認定標準。 　　單體總會體育項目承認標準中，電子競技雖符合競爭成分要求、且未對運動員或參與者的造成安全過度風險與傷害生物，但要件中之「不能存有任何運氣成分」與「不得僅依賴單一供應商所提供的設備」則可能出現問題；因為電子競技中常常有所謂機率性的道具存在遊戲中，且知名遊戲製作常常依賴單一遊戲製造商所提供。 　　本文認為「單一供應商所提供設備」是忽略了電子競技比賽項目為數款遊戲，其無依賴單一或特定遊戲供應商。但在另一方面，由於電子競技機率性的道具影響，往往大於其他運動的不穩定因素(如天氣、濕度)，致使其競爭公平性存疑；電子競技為一個集合名詞，其包含各式電子競技遊戲，縱使認為電子競技項目可納入全無機率性道具遊戲做為體育項目，亦難防因遊戲資料更新或遊戲代理商更易，而使遊戲內容改變為具有機率性道具之要素，故本文認為電子競技難以通過單體總會之體育項目認定標準。 參、結論 　　電子競技是否為正式體育項目現今固仍有爭議，惟根據資策會產業情報研究所(MIC)統計，台灣2014年遊戲業產值新台幣506億元，較2013年的453億元成長11.7%，產值已然不可小覷[10]，產值逐年增加確是不爭事實，而我國在此電子競技領域競賽，獲得亮眼成績。電子競技更從硬體周邊、遊戲製作、競技賽事發展到轉播授權形成一個不可忽視的產業鏈。事實上，依《國民體育法》第1條，體育之目的為鍛鍊國民健全體格，培養國民道德，發揚民族精神及充實國民生活，而電子競技與智力體育項目如橋牌、象棋等類似，均具有培養國民道德與充實國民生活功能，亦符合當前《國民體育法》立法精神，也能達推動電子競技產業鏈目的。但礙於傳統社會觀感使電子競技推行面臨家長不贊同孩子投入、企業亦不願贊助的窘境，雖此問題並非一定要靠正名電子競技方式解決，但正名電子競技絕對是成本以及效果最顯著方式。因此，關於體育項目認定，本文認為應修正現行體育政策，使我國體育項目認定與國際體育團體認可脫鉤，使電子競技可獲得官方認可，擺脫民間負面印象並帶動電子競技周邊商品銷售，促進經濟成長。 [1] Zou Chi，〈電競才正名為運動項目 體育署不到半天就反悔〉，The News Lens 關鍵評論，2015/10/27，http://www.thenewslens.com/post/237818/ (最後瀏覽日期：2015/01/07) [2] 妨害兵役治罪條例第3條「役齡男子意圖避免徵兵處理，而有下列行為之一者，處五年以下有期徒刑一、徵兵及齡男子隱匿不報，或為不實之申報者。三、徵兵檢查無故不到者。七、核准出境後，屆期未歸，經催告仍未返國，致未能接受徵兵處理者。」(節錄) [3] 運動產業發展條例第26條「營利事業合於下列之捐贈，得依所得稅法第三十六條第一款規定以費用列支，不受金額限制： 一、捐贈經政府登記有案之體育團體。二、培養支援運動團隊或運動員。三、推行事業單位本身員工體育活動。」(節錄) [4] 周之鼎、洪聖壹，〈台灣電競之路(上)：10年翻轉最速！電子競技產業須正名〉，ET遊戲雲，2015/11/09，http://www.new0.net/%E5%8F%B0%E7%81%A3%E9%9B%BB%E7%AB%B6%E4%B9%8B%E8%B7%AF(%E4%B8%8A)%EF%BC%9A10%E5%B9%B4%E7%BF%BB%E8%BD%89%E6%9C%80%E9%80%9F%EF%BC%81%E9%9B%BB%E5%AD%90%E7%AB%B6%E6%8A%80%E7%94%A2%E6%A5%AD%E9%A0%88%E6%AD%A3%E5%90%8D-1093122.html(最後瀏覽日期：2015/12/31) [5] 教育部體育署，〈對體育署將「電子競技」列為運動項目回應說明〉，2015/10/26，http://www.sa.gov.tw/wSite/ct?xItem=15870&ctNode=300&mp=11 (最後瀏覽日期：2015/12/31) [6] 教育部，〈體育運動政策白皮書〉，2013/09，http://www.sa.gov.tw/saAdmin/gipadmin/site/public/Data/f1392626664065.pdf?ctNode=1140&idPath=214_226_1140(最後瀏覽日期：2015/12/31) [7] OLYMPIC PROGRAMME COMMISSION,Review of the olympic programme and the recommendations on the programme of the games of the xxix olympiad, beijing 2008(2002), http://www.olympic.org/Documents/Reports/EN/en_report_527.pdf (last visited Dec. 16, 2015). [8] OLYMPIC.ORG,IOC statement on SportAccord(2015), http://www.olympic.org/news/ioc-statement-on-sportaccord/246251 (last visited Jan. 8, 2016) [9] SPORTACCORD,Definition of sport, http://www.sportaccord.com/about/membership/definition-of-sport.php (last visited Dec. 16, 2015). [10] 吳金英，〈遊戲軟體業：中國將取代美成為手遊大國〉，2015/08/04， http://www.topology.com.tw/news/newscontent.asp?ID=PC0AFD9B3B0K9N1HCPJQ1NT5P2 (最後瀏覽日期：2015/12/31)

　　雲端運算（Cloud Computing），是一種基於網際網路的運算方式，用以共享軟硬體資源、依需求提供資訊給電腦和其他裝置。本質上其實就是分散式運算 Distributed Computing，其主要應用是讓不同的電腦同時協助你處理運算，故只要具備兩台以上電腦，讓他們之間互相溝通，協助您處理工作，就是基本的分散式運算。 　　雲端運算是繼1980年代大型電腦到用戶端-伺服器的大轉變之後的又一種巨變。使用者不再需要了解「雲端」中基礎設施的細節，不必具有相應的專業知識，也無需直接進行控制。雲端運算概念下描繪了一種基於網際網路而新增加的新興IT服務、使用和交付模式，藉由網際網路來提供各種不同的資源、服務功能而且經常是虛擬化的。 「雲端運算」供應模式以及實用定義如下： ‧ 軟體服務化 (SaaS)：透過網際網路存取雲端的應用程式 (例如：Salesforce.com、趨勢科技 HouseCall)。 ‧ 平台服務化 (PaaS)：將客戶開發的應用程式部署到雲端的服務 (例如：Google AppEngine 與 Microsoft Azure)。 ‧ 基礎架構服務化 (IaaS)：有時亦稱「公用運算」(Utility Computing)，意指處理器、儲存、網路以及其他資源的租用服務 (例如：Amazon 的 EC2、Rackspace 以及 GoGrid)。 　　雲端運算服務所涉及的法律議題相當廣泛，包含隱私權、個人資料保護、資料管轄權、契約責任、智慧財產權保護與營業秘密等。在隱私權問題方面，使用者的隱私或機密風險，乃至權利義務狀態會因為雲端供應商所提供之服務與隱私權政策（privacy policy）而有顯著不同，也可能因為資訊型態或雲端運送使用者類型不同而有差異。在雲端運算服務契約方面，發生資訊安全事件導致資料失竊或毀損時，供應商責任或注意義務如何於契約中合理分配風險，亦是契約方面重要議題。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).