日前,2014年騰訊全球合作伙伴大會(huì )騰訊云專(zhuān)場(chǎng)主要議程及重磅嘉賓名單公布,其中英國標準協(xié)會(huì )(British Standards Institution,以下簡(jiǎn)稱(chēng)BSI)亞太區董事總經(jīng)理David Horlock先生赫然在列,他將出席“BSI國際信息安全管理體系權威頒證儀式”環(huán)節。一個(gè)是國內云計算的巨頭,一個(gè)是國際標準認證領(lǐng)域的權威,二者的碰撞,會(huì )擦出什么樣的火花?
在移動(dòng)互聯(lián)網(wǎng)創(chuàng )業(yè)、互聯(lián)網(wǎng)企業(yè)云化、傳統企業(yè)互聯(lián)網(wǎng)化等多重機遇下,全球云計算以前所未有的速度高速增長(cháng),同時(shí),對信息安全的顧慮也成為眾多企業(yè),尤其是大型企業(yè)和政企機構云化進(jìn)程的絆腳石。縱觀(guān)國內云計算行業(yè),雖然云服務(wù)商都自稱(chēng)能提供多重防護,確保用戶(hù)信息安全,但依然無(wú)法打消其顧慮。據接近騰訊云的人士透露,騰訊云在幾個(gè)月之前已經(jīng)向BSI提交了ISO 27001:2013的認證申請,其出發(fā)點(diǎn)便是通過(guò)權威的第三方認證,向客戶(hù)證明其服務(wù)的安全、可靠。
安全擔憂(yōu)成云計算絆腳石
對企業(yè)級客戶(hù)而言,信息安全的重要性不言而喻,諸如信息安全風(fēng)險管理、人力資源、物理、網(wǎng)絡(luò )和主機安全、業(yè)務(wù)連續性、數據中心運維等。而網(wǎng)絡(luò )病毒、黑客攻擊、網(wǎng)絡(luò )欺詐、資料丟失、信息系統癱瘓等各種網(wǎng)絡(luò )犯罪行為層出不窮、防不勝防,進(jìn)一步加劇了企業(yè)對網(wǎng)絡(luò )安全的擔憂(yōu)。如何提升客戶(hù)對云計算的信任,讓客戶(hù)能放心地把數據和應用部署在云計算平臺已成為云計算服務(wù)提供商面臨的核心挑戰之一。
據美國智庫戰略與國際研究中心(CSIS)日前公布的一份研究報告,網(wǎng)絡(luò )犯罪使全球經(jīng)貿每年損失4450億美元。全球貿易、創(chuàng )新技術(shù)、金融業(yè)、零售商和能源公司為網(wǎng)絡(luò )風(fēng)險最高的領(lǐng)域,全球大型經(jīng)濟體因網(wǎng)絡(luò )犯罪而承受了重大損失,美國、中國、日本和德國每年遭受的損失合計高達2000億美元。
雖然云服務(wù)商一再申明研發(fā)了諸多產(chǎn)品,可從多個(gè)角度確保用戶(hù)的信息安全,但對于用戶(hù)來(lái)說(shuō),“王婆賣(mài)瓜”的意味頗濃。用戶(hù)擔憂(yōu),企業(yè)無(wú)奈,他們之間相隔著(zhù)一道信任的鴻溝,而權威的第三方認證無(wú)疑是連接二者最好的橋梁。
BSI權威認證構筑信任橋梁
作為全球權威的標準研發(fā)和國際認證評審服務(wù)提供商,BSI最初撰寫(xiě)了BS 7799信息安全管理體系標準,并成功被國際標準組織(International Standardization Organization,簡(jiǎn)稱(chēng)ISO)采納升級為ISO 27001國際信息安全管理體系認證標準。該標準已成為當今國際上最權威、最嚴格,也是最被廣泛接受和應用的信息安全領(lǐng)域的體系認證標準。
具體而言,ISO 27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險管理為核心的管理體系,對企業(yè)建立、實(shí)施和文件化信息安全管理提出了要求。對云計算行業(yè)來(lái)說(shuō),通過(guò)系統化的要求,讓云服務(wù)商對從PAAS、IAAS、SAAS等從底層架構到應用組件及運行平臺的風(fēng)險關(guān)鍵點(diǎn)進(jìn)行把控,確保企業(yè)及相關(guān)方信息產(chǎn)品安全,并從信息資產(chǎn)管理、風(fēng)險評估、業(yè)務(wù)連續性、人力資源、績(jì)效管理等各維度,確保信息資產(chǎn)的安全。同時(shí)通過(guò)PDCA模式,持續改進(jìn)信息管理的服務(wù)體系,從而使信息的安全性、保密性、可用性及業(yè)務(wù)的連續性得到保障。
可以說(shuō),從規范云計算市場(chǎng)、保障信息安全等方面看,ISO 27001認證是國際認可極高的權威認證。
ISO全新升級護航信息安全
在全球云計算等新興IT技術(shù)不斷涌現的大潮中,ISO組織于2013年9月底將ISO 27001:2005正式升級為ISO 27001:2013。相較而言,ISO 27001:2005更加適用于傳統的IT架構,而ISO 27001:2013則補足了2005版中缺失的新技術(shù)對于信息安全管理的相關(guān)要求。
簡(jiǎn)而言之,通過(guò)ISO 27001:2013認證,體現了企業(yè)對安全的承諾,表明企業(yè)信息安全管理已建立起一套科學(xué)有效的管理體系,能夠為用戶(hù)提供可靠的信息服務(wù)。目前國內外許多政府機構、銀行、證券、保險公司、電信運營(yíng)商、網(wǎng)絡(luò )公司及許多跨國公司均采用了此項ISO標準對自己的信息安全進(jìn)行系統的管理。
對于騰訊云等國內云計算服務(wù)提供商來(lái)說(shuō),通過(guò)ISO 27001國際認證,不僅能夠拓展國內的服務(wù)對象范圍,更是走出國門(mén),為國際企業(yè)提供云服務(wù)的基礎。而從時(shí)間上來(lái)看,騰訊云有可能成為國內首家獲得ISO 27001:2013認證的云計算服務(wù)企業(yè)。
業(yè)內人士認為,通過(guò)ISO 27001:2013,騰訊云等國內外云計算服務(wù)提供商能夠證明自身在全球最優(yōu)操作規范方面的努力和符合程度,進(jìn)而向客戶(hù)、合作伙伴和利益相關(guān)方證明產(chǎn)品和服務(wù)的可靠性。而騰訊云率先獲得ISO 27001:2013認證后,也將引發(fā)其他云服務(wù)供應商爭相跟進(jìn),國內云計算安全管理規范化將獲得極大提升。
