云计算安全合规认证哪家强?


—— 遵纪守法 可信云之合规篇


信息安全研究杂志社 文博

由世纪互联独立运营的 Microsoft Azure 和 Office 365,作为首个落地中国市场的国际公有云服务,在采用业界领先的微软云计算技术为客户提供可信赖云服务的同时,严格遵循国际和国内法律法规和标准规定,获得多项权威认证,同时秉承安全性、隐私保护、合规性及透明度四项原则,为广大用户提供基于本土运营和管理,可信、可靠、灵活、高价值且符合本土化要求的一流云服务!

获得 ISO/IEC 27001 信息安全管理体系认证

上海蓝云网络科技有限公司是世纪互联的全资子公司,专门运营国际水准的基于微软技术的 Azure 和 Office 365 云服务,为客户提供涵盖 IaaS 、PaaS、 SaaS 在内的全方位、国际化水准的公有云服务。在运营安全和业务流程方面均已获得国际信息安全标准 ISO/IEC 27001 认证,以及等同采用的 GB/T 22080 认证,并顺利通过了由 CESI(塞西认证)实施的年度审计。

ISO/IEC 27001 信息安全管理体系作为信息安全管理的国际权威体系认证。针对 GB/T 22080-ISO/IEC 27001 标准所规定的 11 大控制领域,世纪互联已经具备明确的保障措施,包括:物理安全、运维安全、数据加密、数据访问、访问控制和系统开发与事件响应等,并执行严格的安全管理流程。该认证表明了由世纪互联运营的 Microsoft Azure 及 Office 365 在安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通讯和运营管理、信息系统获取、开发和维护、访问控制、信息安全事件管理、业务持续性管理及合规性方面完全符合 GB/T 22080-ISO/IEC 27001:2013 的要求。同时世纪互联承诺每年基于 ISO/IEC 27001 进行认证,以保证满足不断发展变化的合规要求。

此外,微软可信云是世界上第一家获得 ISO 27018 云隐私保护标准认证的云服务商。ISO 27018 是 ISO 27001 的扩展,包括“用户知道数据存储位置”、“客户数据不会被用于营销及广告”等。在中国,世纪互联也同样以 ISO 27018 为目标,为客户提供国际一流的隐私保护措施。

在服务方面,微软可信云通过了国际 ISO 20000 标准认证。。世纪互联针对标准中规定的服务级别管理、服务报告、信息安全管理、配置管理、业务关系管理等 13 条服务流程,分别建立相应的管理制度和控制措施。世纪互联根据客户需求制定 SLA 服务协议,根据服务级别实施、交付和监视 SLA 内容。定期对 SLA 进行评审、变更,生成服务报告等。建立完善的客户投诉流程,所有投诉均进行记录,并追查原因,采取相应的措施,直至客户对投诉处理满意,才正式关闭。

除了 ISO 系列,微软可信云也获得了国际上其他众多机构颁布的合规认证,如 CSA CCM(云控制矩阵),SOC,PCI DSS,欧盟标准隐私条款等 50 多项合规认证,是迄今为止获得最多数量合规认证的云服务商。

获得可信云服务认证

可信云服务认证由我国数据中心联盟发起,是针对云计算信任体系的权威认证体系,为用户选择安全、可信的云服务商提供依据。数据中心联盟由工信部通信发展司指导,中国信息通信研究院联合三家国内基础电信运营商、十余家主要互联网企业、国内主要硬件制造企业以及若干科研单位和组织等共同发起组建。世纪互联作为首批组建成员,运用多年 IDC 和云服务运维经验,为可信云服务安全标准的制定提供了大量经验以及技术支持。

可信云服务认证工作从 2013 年开始,截止目前,共有 70+ 个云服务商的 130+ 个云服务通过了可信云服务认证。要求云服务在数据存储持久性、数据可销毁性、数据可迁移性、数据私密性、数据知情权、数据可审查性、服务功能等 16 个方面达到可信云的指标要求。

作为首个落地中国市场的国际公有云服务,世纪互联运营的 Microsoft Azure 和 Office 365 可靠的本地化运营、有财务保障的月度 SLA 服务等级协议、强大的数据安全保障、丰厚的客户收益等优势,累计获得了云虚拟机、云存储、云数据库、云备份、云引擎(云服务)、全网负载均衡(业内首家)、企业级电子邮件、文件共享、共享日历和视频电话会议等九项可信云认证,这是业界对世纪互联国际本土化云服务品质的认可。2015 年,Office 365 还凭借为用户提供了卓越的生产力和高效协作的高端云服务应用,荣获 “可信云 2014-2015 年度行业云服务奖”。如今,Office 365 已成功服务了国内超过 100 万用户,其中不乏对安全有很高要求的政府、金融等领域的用户,如:陕西政府、温州市政府、上海环境监测中心、中国银行、华龙证券等。用户的信赖,更加体现了世纪互联蓝云提供的云服务的安全、可靠和稳定。

通过等级保护三级测评

信息安全等级保护制度是我国信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展、实现“积极防御、综合防范”,全面提高信息系统安全防护能力的重要手段。国家标准 GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程中起到了非常重要的作用,广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作。云服务平台作为信息系统的一种类型也同样适用于开展等级保护工作。

由世纪互联运营的 Microsoft Azure、Office 365 以及 Power BI 云服务平台,从 2014 年起,先后通过了公安部授权测评机构进行的信息安全等级保护第三级测评,并成功备案。

目前,为了适应移动互联、云计算、大数据等新技术应用情况下信息安全等级保护工作的开展,全国信安标委组织对网络安全等级保护系列标准进行全面修订,特别针对云计算等新技术、新应用领域提出扩展安全要求。世纪互联云服务平台将按照新的标准要求,开展网络安全等级测评和备案工作。

结语

习总书记指出,维护国家网络安全必须树立全球视野和开放的心态,抓住和把握新兴技术革命带来的历史性机遇,要通过网络安全审查、行业政策标准等制度,安全地利用世界范围内的先进信息技术产品。