日前,2014年騰訊全球合作伙伴大會騰訊云專場主要議程及重磅嘉賓名單公布,其中英國標準協會(BritishStandards Institution,以下簡稱BSI)亞太區董事總經理David Horlock先生赫然在列,他將出席“BSI國際信息安全管理體系權威頒證儀式”環節。一個是國內云計算的巨頭,一個是國際標準認證領域的權威,二者的碰撞,會擦出什么樣的火花?
在移動互聯網創業、互聯網企業云化、傳統企業互聯網化等多重機遇下,全球云計算以前所未有的速度高速增長,同時,對信息安全的顧慮也成為眾多企業,尤其是大型企業和政企機構云化進程的絆腳石。縱觀國內云計算行業,雖然云服務商都自稱能提供多重防護,確保用戶信息安全,但依然無法打消其顧慮。據接近騰訊云的人士透露,騰訊云在幾個月之前已經向BSI提交了ISO 27001:2013的認證申請,其出發點便是通過權威的第三方認證,向客戶證明其服務的安全、可靠。
安全擔憂成云計算絆腳石
對企業級客戶而言,信息安全的重要性不言而喻,諸如信息安全風險管理、人力資源、物理、網絡和主機安全、業務連續性、數據中心運維等。而網絡病毒、黑客攻擊、網絡欺詐、資料丟失、信息系統癱瘓等各種網絡犯罪行為層出不窮、防不勝防,進一步加劇了企業對網絡安全的擔憂。如何提升客戶對云計算的信任,讓客戶能放心地把數據和應用部署在云計算平臺已成為云計算服務提供商面臨的核心挑戰之一。
據美國智庫戰略與國際研究中心(CSIS)日前公布的一份研究報告,網絡犯罪使全球經貿每年損失4450億美元。全球貿易、創新技術、金融業、零售商和能源公司為網絡風險最高的領域,全球大型經濟體因網絡犯罪而承受了重大損失,美國、中國、日本和德國每年遭受的損失合計高達2000億美元。
雖然云服務商一再申明研發了諸多產品,可從多個角度確保用戶的信息安全,但對于用戶來說,“王婆賣瓜”的意味頗濃。用戶擔憂,企業無奈,他們之間相隔著一道信任的鴻溝,而權威的第三方認證無疑是連接二者最好的橋梁。
作為全球權威的標準研發和國際認證評審服務提供商,BSI最初撰寫了BS 7799信息安全管理體系標準,并成功被國際標準組織(International Standardization Organization,簡稱ISO)采納升級為ISO 27001國際信息安全管理體系認證標準。該標準已成為當今國際上最權威、最嚴格,也是最被廣泛接受和應用的信息安全領域的體系認證標準。
具體而言,ISO 27001是以信息資產及業務風險管理為核心的管理體系,對企業建立、實施和文件化信息安全管理提出了要求。對云計算行業來說,通過系統化的要求,讓云服務商對從PAAS、IAAS、SAAS等從底層架構到應用組件及運行平臺的風險關鍵點進行把控,確保企業及相關方信息產品安全,并從信息資產管理、風險評估、業務連續性、人力資源、績效管理等各維度,確保信息資產的安全。同時通過PDCA模式,持續改進信息管理的服務體系,從而使信息的安全性、保密性、可用性及業務的連續性得到保障。
可以說,從規范云計算市場、保障信息安全等方面看,ISO 27001認證是國際認可極高的權威認證。
ISO全新升級護航信息安全
在全球云計算等新興IT技術不斷涌現的大潮中,ISO組織于2013年9月底將ISO 27001:2005正式升級為ISO 27001:2013。相較而言,ISO 27001:2005更加適用于傳統的IT架構,而ISO 27001:2013則補足了2005版中缺失的新技術對于信息安全管理的相關要求。
簡而言之,通過ISO 27001:2013認證,體現了企業對安全的承諾,表明企業信息安全管理已建立起一套科學有效的管理體系,能夠為用戶提供可靠的信息服務。目前國內外許多政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司均采用了此項ISO標準對自己的信息安全進行系統的管理。
對于騰訊云等國內云計算服務提供商來說,通過ISO 27001國際認證,不僅能夠拓展國內的服務對象范圍,更是走出國門,為國際企業提供云服務的基礎。而從時間上來看,騰訊云有可能成為國內首家獲得ISO 27001:2013認證的云計算服務企業。
業內人士認為,通過ISO 27001:2013,騰訊云等國內外云計算服務提供商能夠證明自身在全球最優操作規范方面的努力和符合程度,進而向客戶、合作伙伴和利益相關方證明產品和服務的可靠性。而騰訊云率先獲得ISO 27001:2013認證后,也將引發其他云服務供應商爭相跟進,國內云計算安全管理規范化將獲得極大提升。
京公網安備 11010502049343號