隨著(zhù)云應用越來(lái)越普及，企業(yè)對於依賴(lài)程度也隨之增高，一旦服務(wù)出現故障，就會(huì )產(chǎn)生重大影響，因此，云安全聯(lián)盟（Cloud Security Alliance）亞太區副總裁Hing-Yan LEE認為，政府應該規范相關(guān)服務(wù)的緊急應變措施，讓提供服務(wù)的CSP業(yè)者能夠有跡可循，他在HITCON Pacific 2018大會(huì )上，藉由推動(dòng)新加坡政府建立云服務(wù)中斷事故因應（Cloud Outage Incident Response，COIR）指南背景為題，進(jìn)行經(jīng)驗分享。

　　Hing-Yan LEE表示，因為云服務(wù)運作出現異常，導致采用的企業(yè)受到影響，最早可追溯到2012年6月時(shí)，日本雅虎旗下伺服器租用服務(wù)的中斷事件，共有5,698間企業(yè)存放在該服務(wù)的資料，因此損毀而無(wú)法復原。受害者不乏日本當地知名的企業(yè)與團體，包含了日本新聞協(xié)會(huì )、東京桌球聯(lián)盟、長(cháng)野電氣鐵路公司，以及小林制藥廠(chǎng)等，而許多的中小企業(yè)因缺乏備份機制，致使他們建置其中的電子商務(wù)服務(wù)網(wǎng)站，無(wú)法繼續運作。

　　後來(lái)在2015年、2017年，全球也出現了許多大型云服務(wù)營(yíng)運異常的事件，其中包含了Amazon、Google、IBM，以及微軟等業(yè)者。不過(guò)相較於前述的日本雅虎案例，普遍中斷的時(shí)間從好幾天，縮短到以小時(shí)為單位，但是相同的是，這些業(yè)者往往只有告知服務(wù)出現異常，暫時(shí)停止運作，然而實(shí)際的情況為何，使用者卻無(wú)從得知。

　　為了解決這樣的問(wèn)題，Hing-Yan LEE說(shuō)，其實(shí)已有國家首開(kāi)先例，訂立相關(guān)的法律，那就是南韓的云運算開(kāi)發(fā)與用戶(hù)保護法案（Cloud Computing Development and User Protection Act），該法案於2015年9月底正式施行，要求云服務(wù)業(yè)者在異常事件發(fā)生時(shí)，必須公開(kāi)揭露相關(guān)細節。

　　Hing-Yan LEE表示，他們藉由上述中斷運作的案例，以及南韓立法的經(jīng)驗，游說(shuō)新加坡政府。而新加坡當局也在2016年2月，由資訊通信發(fā)展局（Infocomm Development Authority）發(fā)表了相關(guān)事件的因應指南，稱(chēng)為Cloud Outage Incident Response（COIR），而到了今年4月，該單位再度更新了這份指南的內容。

　　這份指南的內容，著(zhù)重於云服務(wù)的災害復原（DR）與因應措施，并且依據服務(wù)中斷影響的程度與層級，歸納出4個(gè)類(lèi)別，而判斷災害類(lèi)別的依據，則有16項指標，像是針對服務(wù)停止時(shí)，業(yè)者通知用戶(hù)的速度、頻率，以及公告的管道等，都是造成用戶(hù)可能能否正常維運的評估項目。

　　在Cloud Outage Incident Response指南的架構中，將云服務(wù)中斷造成的災害分成4種類(lèi)別，分別是最嚴重的系統層級（A類(lèi)）、影響企業(yè)整體營(yíng)運（B類(lèi)）、影響企業(yè)維運（C類(lèi)），以及低度影響（D類(lèi)）等。A類(lèi)與B類(lèi)都是屬於嚴重的情況，而後兩者則是影響較為輕微。

　　面臨云服務(wù)中斷事件的因應，雖然我國尚未具備相關(guān)的法規可供業(yè)者遵循，不過(guò)，Hing-Yan LEE表示，目前國際上已有一些機構推出的指南，包含了云安全聯(lián)盟自己推出的安全指南4.0版第9章（Domain 9）、美國國家標準暨技術(shù)研究院（NIST）的電腦安全事件掌控指南，以及歐洲網(wǎng)路與資訊安全局（ENISA）的云運算優(yōu)勢、風(fēng)險，與資訊安全建議事項等。再者，ISO 27035標準的第1與第2部分，也與這類(lèi)事件的因應有關(guān)。