观点:数据胜万金 阿里云通过数据安全审计解读

  在6月29日成都云栖大会上,阿里云资深总监肖力介绍,阿里云通过了由全球顶级审计师事务所安永执行的第三方数据安全审计,结合阿里云在会议上发布的《阿里云数据安全白皮书》,至此,阿里云数据安全管控体系算是正式出现在公众视野。

  作为国际权威的审计师事务所,安永在全球范围实施多个CSP的安全审计项目,而本次安永针对阿里云的第三方审计,是基于美国注册会计师协会(AICPA)和云安全联盟(CSA)制定的SOC2审计标准,该审计标准凭其全面性和严苛性而备受瞩目。

  没有记错的话,这应该是国内第一家通过安永第三方数据安全审计的云计算服务提供商,据肖力介绍,这次由安永执行的第三方审计重点就是数据安全性,结合阿里云在2015年7月发起的“数据安全保护倡议”,在结合《阿里云数据安全白皮书》提出的保障框架,不难看出阿里云保护用户数据的强烈使命感,以及在数据安全保障方面所做出的努力和成绩。

  可能很多人会好奇,阿里云已经获得了云安全国际认证金牌(CSA-STAR)、ISO20000认证、ISO27001和ISO22301认证等一系列国际顶尖的安全认证,为什么还要去尝试高难度的第三方数据安全审计?笔者在这里给大家谈谈自己的看法。

  第一,过招老司机,体现大厂担当

  如果把认证比做门脸的话,审计却是修炼内功的重要途径。头上顶着一圈圈的国际认证光环无疑为阿里云增添了不少的魅力,也增强了阿里云的安全能力,但是把自家的数据数据管控体系交由第三方进行严苛和全面的审计,换做其它机构,可能不是特别愿意。

  安永作为审计师事务所的顶尖代表和资深老司机,在数据安全审计领域有着机构无法匹敌的经验和资历,阿里云能够请来安永进行审计,可见诚意十足,而且内部驱动力不容小觑,是骡子是马,遛遛就知道了。

  与阿里云之前通过的各类认证聚焦在信息安全管理体系不同,安永关注的是阿里云服务相关风险的内控,一方面会审计阿里云信息安全管理体系背后的运作流程,另一方面也会覆盖阿里云内部产品、研发和对外服务等跟风险相关的日常流程机制。

  简而言之,第三方审计是对安全认证的互补增强,在安全威胁日益复杂的今天,通过安永审计的200余项检查验证能够帮助提升阿里云自身的内控能力和流程的标准化能力,使得阿里云能够更加从容地保护云上客户的业务和数据安全。

  第二,炼成学霸,发力海外市场

  笔者曾经提过,对CSP而言,云安全就是一次大考,而数据安全无疑是试卷里的压轴大题,是学霸还是学渣,数据安全就是很重要的试金石,不论哪家CSP,要想脱颖而出名题金榜,就必须得啃下数据安全这道难题。

  安永数据安全审计作为一项严苛的内控审计已经被众多的机构和企业所认可,在国际上拥有很高的权威性,同时本次实施的审计条款是AICPA和CSA组织多年实践积累下来的最佳实践,是机构提升自我风险控制能力的一个重要途径。

  阿里云通过审计补充和完善了内部数据安全管控的机制和流程,经过安永的审计建议,阿里云的数据安全管控能力也得到了极大提升。

  同时笔者也知道,阿里云在坐稳国内云计算市场第一交椅的同时,仍然不遗余力地修炼内功,去通过海外的权威审计,不难猜测阿里云会继续发力拓展海外市场,而这次通过安永的数据安全审计就是要告诉海外用户,阿里云的安全保障能力已经达到足够高的水准,是用户值得信任的CSP。

  第三,聚焦数据安全,交付核心价值

  据数据调查显示,90%以上的用户在评估云计算服务时,首要看重其对公司商誉及业务开展的影响,重点关注CSP的内部控制力和防黑能力,行业客户非常关心安全性,尤其是数据安全与合规。

  所有的CSP都把安全视为一种能力,阿里云也不例外,但安全该怎么来交付,才能让其易于接受,才能获取客户的持续信任,从而更好地改善云上环境,通过第三方审计就是重要途径。

  安全需要审计,CSP可以告诉客户是否安全,并为其提供有效的证据说明。阿里云不能自说自话自吹自擂,一方面它需要审计云平台的安全性,另一方面,它需要第三方机构来审计它的安全体系是否得当,并以此作为良性循环不断优化自身,这也是邀请安永进行审计的初衷。

  据笔者了解,阿里云会将第三方审计作为一项持续性工作,并借此来不断验证和评估其数据安全管控体系的合理性和强健性,而这项工作实施包括定期审计和飞行抽检两种方式。

  当阿里云DBA大伟下班回家吃着火锅唱着歌的时候,可能他当月的操作记录临时被安永审计师要求进行突击审计。又或者阿里云新加坡某数据中心被神秘人物拜访,拜访人员通过飞行抽检的方式要求查看磁盘消磁记录。当第三方审计变成常态化的时候,你可以预料到阿里云数据安全管控体系的自我优化能力会达成一个新高,而最终受益的就是云上数百万用户。

  正所谓烽火连三月,数据胜万金。阿里云在安全方面持续不断地努力,无疑在向用户和市场释放一个强烈的信号,消除少数用户的疑虑,吸引更多的用户上云,阿里云可以让云上的环境更加美好。

  文末套用一句话,优秀的CSP不可怕,可怕的是比你优秀的CSP比你更努力。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

Baidu
map