B 級保護 (加拿大)

簡介

加拿大政府會根據不同的安全性分類等級來為資料歸類，例如「A 級保護」(Protected A)、「B 級保護」(Protected B)、「密件級」(Confidential)、「機密級」(Secret) 和「最高機密」(Top Secret) 等。分類等級取決於資訊的敏感性，以及資訊的機密性、完整性和/或可用性受損害時，可能會引發的危害。加拿大政府部門和機關必須先識別及分類資訊，瞭解應採行哪項安全控管機制，再使用合適的雲端服務。

什麼是 B 級保護？

「受保護的資訊」可歸類為「A 級保護」、「B 級保護」或「C 級保護」。這種分類方式適用於個人資訊、機密商業資訊，以及能合理推斷遭駭時會危害非國家利益的任何其他資訊或資產。具體而言，B 級保護資訊涵蓋個人私密資訊，例如病歷、績效評估報告、財務詳細資訊等。如果有人未經授權揭露這類資訊，可能會對個人/組織造成嚴重危害，包括心理不適、財務損失或信譽遭破壞。

加拿大政府已發布多項政策工具，例如《政府安全政策》(Policy on Government Security)、服務與數位政策/指令/規範 (Policy/Directive/Guideline on Service and Digital)、合約安全手冊 (Contract Security Manual)，以及《商業雲端服務安全使用指引：安全政策實施通知 (SPIN)》(Direction on the Secure Use of Commercial Cloud Services: Security Policy Implementation Notice (SPIN))。這些內容載明實體、員工和 IT 方面的安全規定，同時指出各部門、機關和私營組織能考慮採用的控管機制，以確實保護機密政府資訊。

B 級保護的雲端相關安全控管規範有哪些？

如要瞭解雲端安全控管規範，請見《資訊技術安全指引附錄 3 (ITSG-33) - IT 安全風險管理：生命週期做法》(Annex 3 of Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach)。IT 安全規定則是以網路安全中心的「中影響等級雲端安全控管機制」(Medium Cloud Security Control Profile) 做為基準。另外，加拿大政府也設計出一套 B 級保護高價值資產 (PBHVA) 雲端安全控管機制 (B High Value Assets (PBHVA) Cloud Security Control Profile)，定義了額外的完整性和可用性增強控管措施，適合用來支援確認屬於高價值資產系統的 B 級保護工作負載。

加拿大公共服務暨採購部門 (PSPC) 合約安全計畫 (CSP)

PSPC CSP 旨在驗證雲端服務合約提及的員工和實體安全，包括確認 Google Cloud 已註冊加入 PSPC CSP、取得必要的組織安全許可，並協助員工取得個人安全許可，得以在有業務需求時存取受保護的資訊或營運區域。PSPC 也會對 Google Cloud 加拿大資料中心進行實體安全調查，確保園區符合資安營運區域、妥善資料防護、存取權控管和合約安全方面的規範。

加拿大網路安全中心 (CCCS) 供應鏈完整性 (SCI)

網路安全中心的 SCI 團隊負責評估擁有權、位置和商業行為等與公司相關的風險因素，以及產品或服務本身的技術風險。SCI 團隊會參考多種來源的資訊產生風險評分，協助決定最終的雲端安全性評估結果。如要進一步瞭解 SCI 的作業程序，請參閱「ITSAP.10.070 網路供應鏈：風險評估做法」(ITSAP.10.070, Cyber supply chain: An approach to assessing risk)。

加拿大網路安全中心 (CCCS) CSP IT 安全性評估程序

雲端服務供應商 (CSP) 資訊技術安全性 (ITS) 評估程序 (ITSM.50.100)，是指根據安全控管機制 (中影響等級雲端控管機制和/或 B 級保護高價值資產額外控管措施) 評估雲端解決方案。Google Cloud 負責提供證據，證明我們確實遵守相關控管機制的各項安全控管措施。接著，CCCS 會發布安全性評估報告，總結調查結果。