日前,2014年腾讯全球合作伙伴大会腾讯云专场主要议程及重磅嘉宾名单公布,其中英国标准协会(British Standards Institution,以下简称BSI)亚太区董事总经理David Horlock先生赫然在列,他将出席“BSI国际信息安全管理体系权威颁证仪式”环节。一个是国内云计算的巨头,一个是国际标准认证领域的权威,二者的碰撞,会擦出什么样的火花?
在移动互联网创业、互联网企业云化、传统企业互联网化等多重机遇下,全球云计算以前所未有的速度高速增长,同时,对信息安全的顾虑也成为众多企业,尤其是大型企业和政企机构云化进程的绊脚石。纵观国内云计算行业,虽然云服务商都自称能提供多重防护,确保用户信息安全,但依然无法打消其顾虑。据接近腾讯云的人士透露,腾讯云在几个月之前已经向BSI提交了ISO 27001:2013的认证申请,其出发点便是通过权威的第三方认证,向客户证明其服务的安全、可靠。
安全担忧成云计算绊脚石
对企业级客户而言,信息安全的重要性不言而喻,诸如信息安全风险管理、人力资源、物理、网络和主机安全、业务连续性、数据中心运维等。而网络病毒、黑客攻击、网络欺诈、资料丢失、信息系统瘫痪等各种网络犯罪行为层出不穷、防不胜防,进一步加剧了企业对网络安全的担忧。如何提升客户对云计算的信任,让客户能放心地把数据和应用部署在云计算平台已成为云计算服务提供商面临的核心挑战之一。
据美国智库战略与国际研究中心(CSIS)日前公布的一份研究报告,网络犯罪使全球经贸每年损失4450亿美元。全球贸易、创新技术、金融业、零售商和能源公司为网络风险最高的领域,全球大型经济体因网络犯罪而承受了重大损失,美国、中国、日本和德国每年遭受的损失合计高达2000亿美元。
虽然云服务商一再申明研发了诸多产品,可从多个角度确保用户的信息安全,但对于用户来说,“王婆卖瓜”的意味颇浓。用户担忧,企业无奈,他们之间相隔着一道信任的鸿沟,而权威的第三方认证无疑是连接二者最好的桥梁。
BSI权威认证构筑信任桥梁
作为全球权威的标准研发和国际认证评审服务提供商,BSI最初撰写了BS 7799信息安全管理体系标准,并成功被国际标准组织(International Standardization Organization,简称ISO)采纳升级为ISO 27001国际信息安全管理体系认证标准。该标准已成为当今国际上最权威、最严格,也是最被广泛接受和应用的信息安全领域的体系认证标准。
具体而言,ISO 27001是以信息资产及业务风险管理为核心的管理体系,对企业建立、实施和文件化信息安全管理提出了要求。对云计算行业来说,通过系统化的要求,让云服务商对从PAAS、IAAS、SAAS等从底层架构到应用组件及运行平台的风险关键点进行把控,确保企业及相关方信息产品安全,并从信息资产管理、风险评估、业务连续性、人力资源、绩效管理等各维度,确保信息资产的安全。同时通过PDCA模式,持续改进信息管理的服务体系,从而使信息的安全性、保密性、可用性及业务的连续性得到保障。
可以说,从规范云计算市场、保障信息安全等方面看,ISO 27001认证是国际认可极高的权威认证。
ISO全新升级护航信息安全
在全球云计算等新兴IT技术不断涌现的大潮中,ISO组织于2013年9月底将ISO 27001:2005正式升级为ISO 27001:2013。相较而言,ISO 27001:2005更加适用于传统的IT架构,而ISO 27001:2013则补足了2005版中缺失的新技术对于信息安全管理的相关要求。
简而言之,通过ISO 27001:2013认证,体现了企业对安全的承诺,表明企业信息安全管理已建立起一套科学有效的管理体系,能够为用户提供可靠的信息服务。目前国内外许多政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司均采用了此项ISO标准对自己的信息安全进行系统的管理。
对于腾讯云等国内云计算服务提供商来说,通过ISO 27001国际认证,不仅能够拓展国内的服务对象范围,更是走出国门,为国际企业提供云服务的基础。而从时间上来看,腾讯云有可能成为国内首家获得ISO 27001:2013认证的云计算服务企业。
业内人士认为,通过ISO 27001:2013,腾讯云等国内外云计算服务提供商能够证明自身在全球最优操作规范方面的努力和符合程度,进而向客户、合作伙伴和利益相关方证明产品和服务的可靠性。而腾讯云率先获得ISO 27001:2013认证后,也将引发其他云服务供应商争相跟进,国内云计算安全管理规范化将获得极大提升。