近日,由全国信息安全标准化技术委员会组织举办的2023年第一次“标准周”活动在云南昆明落下帷幕。本次”标准周“专门设置了“网络安全国家标准优秀实践案例展览”,作为“2022年网络安全国家标准优秀实践案例”的获奖企业,阿里云携《安全合规多标准管理体系融合与实践》亮相云计算服务安全主题展区。
图:中央网信办网络安全协调局、网络数据管理局和中国电子技术标准化研究院相关领导莅临阿里云展区
活动现场,阿里云安全合规团队同与会领导、专家和来宾们分享了阿里云在提升各类标准管理体系运行效率、降低各类管理体系维护成本方面的思考与实践。
目前,阿里云安全合规标准融合创新实践已经在用户侧实现部分落地。基于GB/T22080-2016《信息技术安全技术信息安全管理体系要求》,阿里云的安全基线评估工具可免费提供给云租户自评估满足程度。
用户登录云安全中心控制台,即可免费进行合规评估检查。
多规管理融合是大势所趋
截至2023年5月,信安标委组织制订并推动发布了358项网络安全国家标准,涉及密码、鉴别与授权、安全评估、通信安全、安全管理、大数据安全等诸多领域。
网络安全合规监管规范、要求、标准多,以融合的管理体系避免繁杂文档体系和重复性动作带来的额外时间和经济成本是大势所趋。
最近10年来,随着个人信息和隐私保护、云安全、质量和服务、业务连续性等相关标准要求的陆续引进和落地实施,阿里云先后形成了多达4套不同的管理体系组织和制度文件,重复的职责、重复的文档、重复的系统,给管理维护团队带来前所未有的压力和挑战。
作为国内第一家通过信息安全管理体系认证的云厂商,阿里云一直致力于行业探索,并实践适用的网络安全相关标准,解决成本与效率的平衡问题:
- 如何促进标准在云计算领域的落地实施?
- 如何形成标准应用的成熟模式?
- 如何助力提升标准实施成效和运行效率?
- 如何降低各类管理体系的维护成本?
阿里云安全合规体系融合建设实践
为提升各类标准管理体系运行效率、降低各类管理体系维护成本,阿里云于2020年开始对多标准体系进行融合建设。对信息安全、个人信息和隐私保护、云安全、质量和服务、业务连续性等11个核心标准进行拆解分析,同时与现有组织和制度进行对应并整合、发布。
图:阿里云安全合规多标准体系融合实践案例
阿里云安全合规体系融合与建设工作覆盖240+阿里云公共云全线产品,包括:云计算基础类、大数据类、安全类、企业应用类、人工智能类等。物理范围包括阿里云办公所在地以及全球80+支持阿里云服务的数据中心,在人员覆盖上,除阿里云全体正式员工外,生态用工及合作伙伴也均遵循并应用相关标准融合动作。
值得一提的是,流程线上化和合规证据可视化建设,极大减少了以往手工填写的各种体系运行记录的时间,实现在系统中“所见即所得”。同时,在合规证据可视化的基础上建立的安全合规体系度量系统,能够定义监测指标,反映特定时期内某一领域的管控情况,有效识别和评估公司安全合规管理水平。
大幅降低合规体系维护成本,提供免费租户自评工具
阿里云安全合规体系融合与建设工作的开展,取得了良好的效果,主要包括以下几个方面:
- 提升安全合规体系运行效率:
采取“根据专业领域定义接口人职责”代替传统管理体系实施中“根据部门定义接口人职责”,降低多套组织运行以及部门接口人变动带来的沟通成本,确保体系组织稳健运行。
- 降低安全合规体系维护成本:
多套体系制度整合成一套,主要维护方针/策略类一级文档和规范/办法类二级文档,推动流程/操作指南类三级文档落实到各个内部管理系统中,每年制度维护工作量减少 49% 。
- 增强安全合规体系建设能力:
通过实践不断沉淀出安全合规体系的四大能力,包括:合规组织建设能力、合规制度建设能力、合规证据可视化能力、合规体系度量能力,促进了公司安全合规管理水位的提升。
- 创新实践用户侧复制落地:
在面临多体系维护成本“滚雪球”式增加的情况下,将上述标准有机结合,创新了体系融合建设的方法,可为社会各行各业开展体系融合建设提供有益的借鉴。目前,GB/T 22080-2016 《信息技术 安全技术信息安全管理体系要求》已经形成安全基线评估工具,免费提供给云租户自评估满足程度。
