隨著云應(yīng)用越來越普及，企業(yè)對於依賴程度也隨之增高，一旦服務(wù)出現(xiàn)故障，就會產(chǎn)生重大影響，因此，云安全聯(lián)盟（Cloud Security Alliance）亞太區(qū)副總裁Hing-Yan LEE認(rèn)為，政府應(yīng)該規(guī)范相關(guān)服務(wù)的緊急應(yīng)變措施，讓提供服務(wù)的CSP業(yè)者能夠有跡可循，他在HITCON Pacific 2018大會上，藉由推動新加坡政府建立云服務(wù)中斷事故因應(yīng)（Cloud Outage Incident Response，COIR）指南背景為題，進行經(jīng)驗分享。

　　Hing-Yan LEE表示，因為云服務(wù)運作出現(xiàn)異常，導(dǎo)致采用的企業(yè)受到影響，最早可追溯到2012年6月時，日本雅虎旗下伺服器租用服務(wù)的中斷事件，共有5,698間企業(yè)存放在該服務(wù)的資料，因此損毀而無法復(fù)原。受害者不乏日本當(dāng)?shù)刂�名的企業(yè)與團體，包含了日本新聞協(xié)會、東京桌球聯(lián)盟、長野電氣鐵路公司，以及小林制藥廠等，而許多的中小企業(yè)因缺乏備份機制，致使他們建置其中的電子商務(wù)服務(wù)網(wǎng)站，無法繼續(xù)運作。

　　後來在2015年、2017年，全球也出現(xiàn)了許多大型云服務(wù)營運異常的事件，其中包含了Amazon、Google、IBM，以及微軟等業(yè)者。不過相較於前述的日本雅虎案例，普遍中斷的時間從好幾天，縮短到以小時為單位，但是相同的是，這些業(yè)者往往只有告知服務(wù)出現(xiàn)異常，暫時停止運作，然而實際的情況為何，使用者卻無從得知。

　　為了解決這樣的問題，Hing-Yan LEE說，其實已有國家首開先例，訂立相關(guān)的法律，那就是南韓的云運算開發(fā)與用戶保護法案（Cloud Computing Development and User Protection Act），該法案於2015年9月底正式施行，要求云服務(wù)業(yè)者在異常事件發(fā)生時，必須公開揭露相關(guān)細(xì)節(jié)。

　　Hing-Yan LEE表示，他們藉由上述中斷運作的案例，以及南韓立法的經(jīng)驗，游說新加坡政府。而新加坡當(dāng)局也在2016年2月，由資訊通信發(fā)展局（Infocomm Development Authority）發(fā)表了相關(guān)事件的因應(yīng)指南，稱為Cloud Outage Incident Response（COIR），而到了今年4月，該單位再度更新了這份指南的內(nèi)容。

　　這份指南的內(nèi)容，著重於云服務(wù)的災(zāi)害復(fù)原（DR）與因應(yīng)措施，并且依據(jù)服務(wù)中斷影響的程度與層級，歸納出4個類別，而判斷災(zāi)害類別的依據(jù)，則有16項指標(biāo)，像是針對服務(wù)停止時，業(yè)者通知用戶的速度、頻率，以及公告的管道等，都是造成用戶可能能否正常維運的評估項目。

　　在Cloud Outage Incident Response指南的架構(gòu)中，將云服務(wù)中斷造成的災(zāi)害分成4種類別，分別是最嚴(yán)重的系統(tǒng)層級（A類）、影響企業(yè)整體營運（B類）、影響企業(yè)維運（C類），以及低度影響（D類）等。A類與B類都是屬於嚴(yán)重的情況，而後兩者則是影響較為輕微。

　　面臨云服務(wù)中斷事件的因應(yīng)，雖然我國尚未具備相關(guān)的法規(guī)可供業(yè)者遵循，不過，Hing-Yan LEE表示，目前國際上已有一些機構(gòu)推出的指南，包含了云安全聯(lián)盟自己推出的安全指南4.0版第9章（Domain 9）、美國國家標(biāo)準(zhǔn)暨技術(shù)研究院（NIST）的電腦安全事件掌控指南，以及歐洲網(wǎng)路與資訊安全局（ENISA）的云運算優(yōu)勢、風(fēng)險，與資訊安全建議事項等。再者，ISO 27035標(biāo)準(zhǔn)的第1與第2部分，也與這類事件的因應(yīng)有關(guān)。