觀點：數(shù)據(jù)勝萬金 阿里云通過數(shù)據(jù)安全審計解讀

時間：2023-01-13 06:24:01 | 來源：電子商務(wù)

時間：2023-01-13 06:24:01 來源：電子商務(wù)

在6月29日成都云棲大會上，阿里云資深總監(jiān)肖力介紹，阿里云通過了由全球頂級審計師事務(wù)所安永執(zhí)行的第三方數(shù)據(jù)安全審計，結(jié)合阿里云在會議上發(fā)布的《阿里云數(shù)據(jù)安全白皮書》，至此，阿里云數(shù)據(jù)安全管控體系算是正式出現(xiàn)在公眾視野。

作為國際權(quán)威的審計師事務(wù)所，安永在全球范圍實施多個CSP的安全審計項目，而本次安永針對阿里云的第三方審計，是基于美國注冊會計師協(xié)會(AICPA)和云安全聯(lián)盟(CSA)制定的SOC2審計標(biāo)準(zhǔn)，該審計標(biāo)準(zhǔn)憑其全面性和嚴苛性而備受矚目。

沒有記錯的話，這應(yīng)該是國內(nèi)第一家通過安永第三方數(shù)據(jù)安全審計的云計算服務(wù)提供商，據(jù)肖力介紹，這次由安永執(zhí)行的第三方審計重點就是數(shù)據(jù)安全性，結(jié)合阿里云在2015年7月發(fā)起的“數(shù)據(jù)安全保護倡議”，在結(jié)合《阿里云數(shù)據(jù)安全白皮書》提出的保障框架，不難看出阿里云保護用戶數(shù)據(jù)的強烈使命感，以及在數(shù)據(jù)安全保障方面所做出的努力和成績。

可能很多人會好奇，阿里云已經(jīng)獲得了云安全國際認證金牌(CSA-STAR)、ISO20000認證、ISO27001和ISO22301認證等一系列國際頂尖的安全認證，為什么還要去嘗試高難度的第三方數(shù)據(jù)安全審計?筆者在這里給大家談?wù)勛约旱目捶ā?/p>

第一，過招老司機，體現(xiàn)大廠擔(dān)當(dāng)

如果把認證比做門臉的話，審計卻是修煉內(nèi)功的重要途徑。頭上頂著一圈圈的國際認證光環(huán)無疑為阿里云增添了不少的魅力，也增強了阿里云的安全能力，但是把自家的數(shù)據(jù)數(shù)據(jù)管控體系交由第三方進行嚴苛和全面的審計，換做其它機構(gòu)，可能不是特別愿意。

安永作為審計師事務(wù)所的頂尖代表和資深老司機，在數(shù)據(jù)安全審計領(lǐng)域有著機構(gòu)無法匹敵的經(jīng)驗和資歷，阿里云能夠請來安永進行審計，可見誠意十足，而且內(nèi)部驅(qū)動力不容小覷，是騾子是馬，遛遛就知道了。

與阿里云之前通過的各類認證聚焦在信息安全管理體系不同，安永關(guān)注的是阿里云服務(wù)相關(guān)風(fēng)險的內(nèi)控，一方面會審計阿里云信息安全管理體系背后的運作流程，另一方面也會覆蓋阿里云內(nèi)部產(chǎn)品、研發(fā)和對外服務(wù)等跟風(fēng)險相關(guān)的日常流程機制。

簡而言之，第三方審計是對安全認證的互補增強，在安全威脅日益復(fù)雜的今天，通過安永審計的200余項檢查驗證能夠幫助提升阿里云自身的內(nèi)控能力和流程的標(biāo)準(zhǔn)化能力，使得阿里云能夠更加從容地保護云上客戶的業(yè)務(wù)和數(shù)據(jù)安全。

第二，煉成學(xué)霸，發(fā)力海外市場

筆者曾經(jīng)提過，對CSP而言，云安全就是一次大考，而數(shù)據(jù)安全無疑是試卷里的壓軸大題，是學(xué)霸還是學(xué)渣，數(shù)據(jù)安全就是很重要的試金石，不論哪家CSP，要想脫穎而出名題金榜，就必須得啃下數(shù)據(jù)安全這道難題。

安永數(shù)據(jù)安全審計作為一項嚴苛的內(nèi)控審計已經(jīng)被眾多的機構(gòu)和企業(yè)所認可，在國際上擁有很高的權(quán)威性，同時本次實施的審計條款是AICPA和CSA組織多年實踐積累下來的最佳實踐，是機構(gòu)提升自我風(fēng)險控制能力的一個重要途徑。

阿里云通過審計補充和完善了內(nèi)部數(shù)據(jù)安全管控的機制和流程，經(jīng)過安永的審計建議，阿里云的數(shù)據(jù)安全管控能力也得到了極大提升。

同時筆者也知道，阿里云在坐穩(wěn)國內(nèi)云計算市場第一交椅的同時，仍然不遺余力地修煉內(nèi)功，去通過海外的權(quán)威審計，不難猜測阿里云會繼續(xù)發(fā)力拓展海外市場，而這次通過安永的數(shù)據(jù)安全審計就是要告訴海外用戶，阿里云的安全保障能力已經(jīng)達到足夠高的水準(zhǔn)，是用戶值得信任的CSP。

第三，聚焦數(shù)據(jù)安全，交付核心價值

據(jù)數(shù)據(jù)調(diào)查顯示，90%以上的用戶在評估云計算服務(wù)時，首要看重其對公司商譽及業(yè)務(wù)開展的影響，重點關(guān)注CSP的內(nèi)部控制力和防黑能力，行業(yè)客戶非常關(guān)心安全性，尤其是數(shù)據(jù)安全與合規(guī)。

所有的CSP都把安全視為一種能力，阿里云也不例外，但安全該怎么來交付，才能讓其易于接受，才能獲取客戶的持續(xù)信任，從而更好地改善云上環(huán)境，通過第三方審計就是重要途徑。

安全需要審計，CSP可以告訴客戶是否安全，并為其提供有效的證據(jù)說明。阿里云不能自說自話自吹自擂，一方面它需要審計云平臺的安全性，另一方面，它需要第三方機構(gòu)來審計它的安全體系是否得當(dāng)，并以此作為良性循環(huán)不斷優(yōu)化自身，這也是邀請安永進行審計的初衷。

據(jù)筆者了解，阿里云會將第三方審計作為一項持續(xù)性工作，并借此來不斷驗證和評估其數(shù)據(jù)安全管控體系的合理性和強健性，而這項工作實施包括定期審計和飛行抽檢兩種方式。

當(dāng)阿里云DBA大偉下班回家吃著火鍋唱著歌的時候，可能他當(dāng)月的操作記錄臨時被安永審計師要求進行突擊審計。又或者阿里云新加坡某數(shù)據(jù)中心被神秘人物拜訪，拜訪人員通過飛行抽檢的方式要求查看磁盤消磁記錄。當(dāng)?shù)谌綄徲嬜兂沙B(tài)化的時候，你可以預(yù)料到阿里云數(shù)據(jù)安全管控體系的自我優(yōu)化能力會達成一個新高，而最終受益的就是云上數(shù)百萬用戶。

正所謂烽火連三月，數(shù)據(jù)勝萬金。阿里云在安全方面持續(xù)不斷地努力，無疑在向用戶和市場釋放一個強烈的信號，消除少數(shù)用戶的疑慮，吸引更多的用戶上云，阿里云可以讓云上的環(huán)境更加美好。

文末套用一句話，優(yōu)秀的CSP不可怕，可怕的是比你優(yōu)秀的CSP比你更努力。