大會(huì )期間,華為云聯(lián)合中國信通院發(fā)布了《云服務(wù)安全治理白皮書(shū)》,系統闡釋了華為云對云服務(wù)安全治理的理解和能力,詳細解讀了云服務(wù)網(wǎng)絡(luò )安全與合規標準(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD,簡(jiǎn)稱(chēng)“3CS”),助力云服務(wù)提供商和客戶(hù)快速提升安全治理能力。
鄒豐表示,伴隨著(zhù)云計算的飛速發(fā)展,全球網(wǎng)絡(luò )安全監管也愈加嚴格,云服務(wù)提供商和客戶(hù)皆需加強自身安全能力建設,滿(mǎn)足監管要求。
對于云服務(wù)提供商來(lái)說(shuō),“3CS”體系可幫助其建立覆蓋云計算服務(wù)所有流程的云安全治理體系,從而更好地為客戶(hù)提供安全可信的云計算服務(wù),增強客戶(hù)信任;云服務(wù)客戶(hù)則可參考3CS治理體系來(lái)提高客戶(hù)自身的云安全管理能力,同時(shí)可借助華為云提供的20+自研安全服務(wù)、200+伙伴安全服務(wù),滿(mǎn)足保護云工作負載、保護應用服務(wù)、保護數據資產(chǎn)、管理安全態(tài)勢和合規上云等需求,構建立體的云安全防護能力。
華為云首創(chuàng )“3CS” 體系,滿(mǎn)足更高安全治理需求
目前,業(yè)界多數的云安全管理體系與云服務(wù)各管理流程間缺乏關(guān)聯(lián)性,不利于職能部門(mén)理解自身需要承擔的安全職責,一定情況下導致部分安全職責無(wú)人承擔,無(wú)法滿(mǎn)足業(yè)務(wù)規模不斷發(fā)展壯大的云服務(wù)提供商的安全治理需求。在此背景下,華為云通過(guò)持續經(jīng)營(yíng)和反復探索,確立了一種開(kāi)放、包容、不斷發(fā)展和優(yōu)化的安全治理方法,用以控制、審核、度量與評估云服務(wù)安全管理的有效性和對監管要求的遵從性,即“3CS”體系。
“3CS”體系的創(chuàng )建以業(yè)界多個(gè)主流安全標準為參考基礎,同時(shí)融合了華為三十年安全運營(yíng)管理經(jīng)驗。其基礎理念是基于云服務(wù)各業(yè)務(wù)模塊的流程,劃分相對應的安全控制領(lǐng)域,使安全控制要求得以嵌入到云服務(wù)管理流程中,同步確保安全管理責任清晰明確、可度量、可追溯,從而實(shí)現全面有效的安全治理。
“3CS”體系具備以下核心亮點(diǎn):
1、 與云服務(wù)各業(yè)務(wù)流程緊密結合
在“3CS”體系的安全管理框架中,各種安全控制活動(dòng)可被劃分為三大板塊,涵蓋云服務(wù)安全治理、云服務(wù)管理支撐、數據中心運營(yíng)、云基礎架構、云平臺運營(yíng)、云服務(wù)產(chǎn)品安全、安全運營(yíng)、商業(yè)運營(yíng)八個(gè)領(lǐng)域。這些領(lǐng)域覆蓋了云服務(wù)各業(yè)務(wù)模塊的全流程,各領(lǐng)域之間層次關(guān)系鮮明,組織可以有明確的管理依據,將各種安全管理職責落實(shí)到相關(guān)職能的責任部門(mén)當中。
基于云服務(wù)全流程的“3CS”安全管理框架
2、 可審核、可追溯、可度量,便于落地
為推動(dòng)“3CS”體系的有效落地,體系中對各部門(mén)的責任進(jìn)行了明確劃分,對每條控制要求均制定了具體的審核指南,同時(shí)采用自動(dòng)化工具對操作行為進(jìn)行跟蹤管理,對所有審核記錄保留完整證據鏈,對管理效果制定了可度量方法和指標。
3、 具備行業(yè)普適性
“3CS”體系不止實(shí)踐于華為云自身,對業(yè)界的安全治理亦有極大參考意義。相比傳統的安全管理體系,“3CS”在進(jìn)行框架設計時(shí)就考慮到行業(yè)的普遍適用性,各組織在應用此治理框架時(shí)均可根據本組織的職能劃分,進(jìn)一步對框架內各控制領(lǐng)域進(jìn)行調整,使之更好地適配組織的治理架構。
鄒豐指出,目前“3CS” 已經(jīng)在華為云內部成功落地實(shí)施并取得優(yōu)秀成果。依據“3CS”的控制要求,華為云對云服務(wù)各流程領(lǐng)域執行了對應的控制措施,在各部門(mén)進(jìn)行了安全控制的強化,各部門(mén)及產(chǎn)品線(xiàn)的安全能力都得到進(jìn)一步的提升。
在練好內功,強化安全能力的同時(shí),華為云通過(guò)接受多國監管部門(mén)的監督和國際權威機構的審計評估,確保華為云的安全能力可驗證,并將經(jīng)過(guò)驗證的安全能力向客戶(hù)及公眾傳達,確保信息的透明公開(kāi)。
目前,華為云已累計獲得80+安全合規認證,并發(fā)布20+安全遵從性白皮書(shū),滿(mǎn)足全球客戶(hù)業(yè)務(wù)合規和可適用的隱私保護要求,為客戶(hù)業(yè)務(wù)安全保駕護航。
掃描海報二維碼,關(guān)注華為云服務(wù)號
下載《云服務(wù)安全治理白皮書(shū)》
華為云聯(lián)合中國信通院發(fā)布《云服務(wù)安全治理白皮書(shū)》,該白皮書(shū):
- 可為云服務(wù)客戶(hù)、社區及互聯(lián)網(wǎng)用戶(hù)在對比、選擇合適的云服務(wù)提供商時(shí)提供安全性方面的信息參考;
- 可為云服務(wù)提供商、生態(tài)伙伴在云運營(yíng)管理過(guò)程中提供安全方面的指導和參考
