斩获新资质
数字时代,数据的安全对于互联网用户来说显得尤为重要。阿里云更是一直坚持“安全第一准则”,致力于为客户的数据安全搭建更健全机制。
2019年5月,阿里云“电子政务云平台系统”正式通过网络安全等级保护三级测评。这是等保2.0正式国家标准GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》发布后,全国首个通过等保2.0国标测评的云平台。
等保2.0是什么?
2018年6月27日,公安部正式公布《网络安全等级保护条例(征求意见稿)》,标志着《网络安全法》(以下称《网安法》)第二十一条所确立的网络安全等级保护制度有了具体的实施依据和有力抓手。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的需求,标志着等级保护正式迈入2.0时代。
而这,距离上一次斩获殊荣还不到半年。
合规认证全回顾
2018年12月,阿里云获得ISO/IEC 27017和ISO/IEC 27018两项权威认证,这意味着阿里云实现了ISO 9001、ISO/IEC 20000等共7项ISO认证对公共云上139款产品以及对国内外IDC机房的全覆盖。
ISO制定的系列管理体系得到全球信赖和广泛认可。通过ISO的标准认证,表明阿里云无论是在自身管理体系建设上,还是保证客户信息安全方面,均符合国际公认的权威标准。
国际权威的认证机构BSI的审核团队表示
经过对阿里云管理体系认证审核和持续监督审核,我们高兴地看到,阿里云管理体系内的各类业务活动、产品和服务能力,包括国内外的场所,均符合ISO相关管理体系标准要求,这说明阿里云在安全性、稳定性、合规性上均达到国际先进标准的要求。
在不断符合ISO体系认证过程中,阿里云一方面严格遵循ISO标准,完善自身管理体系;另一方面夯实产品从规划设计、开发测试到上线运营的全生命周期的规范化技术能力,沉淀了一套完整支撑产品运营的原子化流程,所有产品均遵循整体的流程管控要求,实现安全合规。
回顾发展历程,保障用户数据和隐私安全,始终是阿里云坚守的第一准则。
●2013年, 阿里云获得全球首张云安全国际认证金牌(CSA-STAR),这是BSI向全球云服务商颁发的首张金牌,也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。
●2015年,阿里云作为亚洲合规资质最全的云服务商,率先发布《数据保护倡议书》,是首个提出“绝对不碰客户数据”承诺的云厂商。
●2016年,阿里云获得BSI颁发的全球第一张ISO 22301国际认证证书。
●2016年,阿里云通过了“全球最严”的数据安全审计,从产品、研发、运营、服务机制等217项目的核心控制点,均通过了国际权威审计方安永的验证。
●2017年,阿里云成为全球第一家同时完成德国C5云安全基础要求和附加要求评审的云服务提供商;并支持美国卡内基梅隆大学共同完成数据移动权利调研报告,希望全球云服务提供商能重视、履行数据安全和隐私保护。
●2018年,阿里云在全产品、全节点通过ISO认证的同时,拿下云服务用户数据保护能力多项认证。
●2018年,被业界公认为全区最严的数据保护法规GDPR生效,阿里云从平台、系统、产品、服务、合规、流程、政策等方面,全面按照该要求持续进行数据保护与相关服务改进,目前相关工作已准备就绪。
●2019年,阿里云专有云平台通过等保2.0四级(可交付的最高等级)测评,并联合公安部信息安全等级保护评估中心发布了《阿里专有云等保合规白皮书》,成为全球首个专有云等保合规白皮书。
安全无止境
除了进行第三方合规认证之外,阿里云在数据安全机制、流程、技术等维度,也已经走在全球前列。目前,阿里云建立了双因素身份认证-增强访问控制-内部审计-第三方审计等“四位一体”的数据安全机制流程,以及基于芯片级的SGX加密技术、用户数据全链路加密方案,保护用户在云上的数据安全。同时,阿里云在产品规划当中遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。
在护航云上企业免于外部攻击方面,阿里云基于护航阿里巴巴经济体十余年沉淀的安全能力,凭借自身的大数据处理和分析能力,将深度学习、人工智能、IPv6等前沿技术融入安全产品中,为云上企业建立了基础安全、数据安全、业务安全等一系列保障安全产品和解决方案,让外部攻击无所遁形,为客户专注于发展自身业务创造有利条件。
未来,阿里云将继续致力于携手客户、生态伙伴,倡导与实践数据安全和隐私保护,共同保障云上百万企业安全。
