軟體即服務 (SaaS)

根據美國國家標準暨技術研究院 (NIST) 的定義，SaaS 讓消費者使用雲端基礎設施上運行的供應商應用程式。 消費者不需管理或控制底層的網路、伺服器、作業系統或儲存空間，僅能進行有限的應用程式組態設定。 這種模式讓企業能快速導入應用，降低前期建置成本。

台灣企業採用 SaaS 時，面臨資料外洩、法規遵循與營業秘密保護等挑戰。根據「雲端共同責任模型」，SaaS 供應商僅負責基礎設施安全，企業客戶需對資料存取、使用者行為等內部安全負責。 若處理不當，可能違反《個人資料保護法》或《營業秘密法》，面臨高額罰款與商譽損失。 尤其在供應鏈資安要求日趨嚴格的趨勢下，SaaS 風險管理已是企業不可忽視的課題。

SaaS 風險管理與多項國際標準高度相關。ISO/IEC 27001:2022 的附錄 A.5.23「雲端服務使用的資訊安全」明確要求企業應制定雲端服務的取得、使用、管理及退場流程。 此外，ISO/IEC 27017 是專為雲端服務設計的安全控制措施實踐準則，而 ISO/IEC 27018 則聚焦於公有雲中個人可識別資訊 (PII) 的保護。

積穗科研是全台最早結合企業風險管理 (ERM)、工業工程、科技法律與資料科學的顧問公司。我們曾協助台積電、聯發科等頂尖企業，將 SaaS 風險納入其資安與營業秘密保護框架。團隊整合具預防法學背景的創辦人、科技法律師、ISO 主導稽核員及 AI 技術專家，能協助企業將 ISO 27001、ISO 27017 等標準與公司治理、內控制度垂直整合，避免疊床架屋，確保 SaaS 應用在法規遵循與營運效率間取得最佳平衡。