近日，阿里云計算有限公司通過了由BSI(英國標(biāo)準(zhǔn)協(xié)會)審核的ISO27001：2005(信息安全管理體系)認(rèn)證，成為BSI在國內(nèi)審核通過ISO27001的第一家云計算安全服務(wù)提供商。

ISO27001是一項信息安全管理國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出并陸續(xù)完善，是目前國際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全標(biāo)準(zhǔn)。

阿里云計算業(yè)務(wù)總經(jīng)理陳金培接受BSI高博士頒證

通過ISO27001檢驗阿里云信息安全水平

用戶使用云計算最大的障礙之一是對于安全的擔(dān)憂，作為面向公眾提供云計算服務(wù)的公司，阿里云不斷從管理和技術(shù)等方面，提升信息安全水平，提升客戶對云計算的信任，讓客戶能放心的把數(shù)據(jù)和應(yīng)用部署在阿里云的云計算平臺上。

阿里云已經(jīng)具備了良好的信息安全管理基礎(chǔ)，建立了一套以自動化安全體系為主，輔以管理手段的互聯(lián)網(wǎng)安全與內(nèi)控體系，達到國內(nèi)的領(lǐng)先水平。阿里云的所有信息系統(tǒng)通過國家信息系統(tǒng)等級化保護測評，作為工信部云計算安全試點的企業(yè)，阿里云形成了滿足國家、國際云計算安全控制要求，可持續(xù)的云計算安全評估方法，誕生了覆蓋傳統(tǒng)信息安全和云計算安全管控的“阿里云安全模型”。阿里云還成為了CSA(Cloud Security Alliance，云安全聯(lián)盟)和BSI聯(lián)合推出的面向云服務(wù)提供商的安全開放框架在中國大陸地區(qū)的第一家試點機構(gòu)。

ISO27001是基于信息資產(chǎn)信息安全風(fēng)險管理為核心的體系，讓企業(yè)的信息安全管理水平經(jīng)歷嚴(yán)格的審核，從信息安全體系的核心和管控思想兩個方面，都能檢驗阿里云作為云計算服務(wù)提供商提供給客戶的安全承諾。面對個人信息泄露、個人隱私保護及云計算帶來的相關(guān)法律和合規(guī)要求，ISO27001對于隱私保護和法律方面的合規(guī)管理也提供了規(guī)范。

本次認(rèn)證的通過,標(biāo)志著阿里云的信息安全管理水平與國際先進水平完全接軌，而通過ISO27001認(rèn)證，持續(xù)提升客戶的信任度，也成為阿里云的必經(jīng)之路。

傳統(tǒng)規(guī)范使云計算信息安全再上高峰

云計算是一個新興行業(yè)，業(yè)界缺乏對于云計算安全管理的相關(guān)標(biāo)準(zhǔn)與最佳實踐，云計算安全目前仍然缺乏一個國際標(biāo)準(zhǔn)。但即使在云計算的背景下，云計算安全與傳統(tǒng)信息安全的安全目標(biāo)仍是相同的：保護信息資產(chǎn)的保密性、完整性、可用性。諸如信息安全風(fēng)險管理;人力資源、物理、網(wǎng)絡(luò)和主機安全;業(yè)務(wù)連續(xù)性;數(shù)據(jù)中心運維等方面，阿里云將滿足ISO27001:2005作為基線要求。

由于ISO27001 是為成熟商業(yè)模式設(shè)立的安全標(biāo)準(zhǔn)，對云計算與新興互聯(lián)網(wǎng)企業(yè)在技術(shù)和管理方面的需求提出了一些挑戰(zhàn)，比如在云計算巨大的網(wǎng)絡(luò)帶寬環(huán)境下，傳統(tǒng)的防火墻已經(jīng)在性能上無法支撐云計算海量的網(wǎng)絡(luò)隔離要求。需要充分滿足ISO27001的管控要求，但又不被傳統(tǒng)安全管理帶來的效率制約，是阿里云最大的挑戰(zhàn)。阿里云解決了內(nèi)部架構(gòu)和人員的調(diào)整對管理流程帶來的沖擊，在多個工具或平臺管理上，實現(xiàn)了對控制要求的技術(shù)支撐和管理流程的規(guī)范，在實施ISO27001后，進一步加強了員工的流程意識，將運維方面因流程執(zhí)行不規(guī)范而導(dǎo)致的故障降到了最低。

在通過ISO27001審核的過程中，阿里云也獲益良多。BSI培訓(xùn)師幫助阿里云在不斷變化的管理和技術(shù)要求中，把握住體系建設(shè)的核心，明確風(fēng)險管理的方向。還建議阿里云從提升客戶安全信心的角度，將以內(nèi)部IDC基礎(chǔ)設(shè)施管理為主的認(rèn)證范圍，擴大為以對外產(chǎn)品安全管理為主認(rèn)證范圍。最終阿里云的證書范圍中包含了云盾(云安全服務(wù)security as a service)這類對外的產(chǎn)品和服務(wù)，相比僅支撐內(nèi)部安全管理的證書范圍，對客戶更具備可信任度。

ISO27001表明阿里云在內(nèi)部的信息安全管理方面達到了一個新的里程碑，建立了最佳的信息安全運行方式。阿里云將通過ISO27001，持續(xù)提升公司的信息安全管理水平，實現(xiàn)中國云計算企業(yè)的安全最佳實踐，為客戶提供安全的云計算服務(wù)。

通過ISO27001認(rèn)證使得阿里云的彈性計算、RDS及云盾產(chǎn)品在同類企業(yè)競爭中更具優(yōu)勢。作為率先通過認(rèn)證的企業(yè)，阿里云認(rèn)為，從數(shù)據(jù)安全的角度，承載客戶數(shù)據(jù)、客戶應(yīng)用的云服務(wù)商必須通過獲得ISO27001:2005認(rèn)證，阿里云希望為行業(yè)發(fā)展豎立標(biāo)桿，逐步規(guī)范云計算市場，提升行業(yè)門檻，保障行業(yè)對客戶的服務(wù)水平。