7月28日,以“数字裂变,可信发展”为主题的2021可信云大会在北京继续举行。大会主题演讲环节,华为云安全治理总监邹丰发表了“面向可信的云安全治理体系“的主题演讲,分享了华为云在安全治理上的成果以及华为云整体的安全能力。大会上,华为云还联合中国信通院发布了《云服务安全治理白皮书》,系统阐释了华为云对云服务安全治理的理解和能力,详细解读了云服务网络安全与合规标准(CLOUD SERVICE CYBERSECURITY COMPLIANCE STANDARD,简称“3CS”),帮助云服务提供商和客户快速提升安全治理能力。
邹丰表示,随着云计算飞速发展,全球网络安全监管也越来越严,云服务提供商和客户需要加强自身安全能力建设,满足监管要求。于云服务提供商来说,“3CS”体系可帮助其建立覆盖云计算服务所有流程的云安全治理体系,从而更好地为客户提供安全可信的云计算服务,增强客户的信任;于云服务客户来说,可参考3CS治理体系来提高客户自身的云安全管理能力,另外可借助华为云提供的20+自研安全服务、200+伙伴安全服务,满足保护云工作负载、保护应用服务、保护数据资产、管理安全态势和合规上云等方面的需求,构建立体的云安全防护能力。
华为云首创“3CS”体系,满足更高安全治理需求
目前,业界多数的云安全管理体系与云服务各管理流程缺乏关联性,不利于职能部门理解自身需要承担的安全职责,一定情况下导致部分安全职责无人承担,无法满足业务规模不断发展壮大的云服务提供商的安全治理需求。在此背景下,华为云通过持续经营和反复探索,确立了一种开放、包容、不断发展和优化的安全治理方法,用以控制、审核、度量与评估云服务安全管理的有效性以及对监管要求的遵从性,即“3CS”体系。
“3CS”体系的创建以业界多个主流安全标准为参考基础,并融合了华为三十年安全运营管理经验。其基础理念是基于云服务各业务模块的流程,划分相对应的安全控制领域,使安全控制要求得以嵌入到云服务管理流程中,且确保安全管理责任清晰明确、可度量、可追溯,从而实现全面有效的安全治理。“
3CS”体系具备以下核心亮点:
1、与云服务各业务流程紧密结合
在“3CS”体系的安全管理框架中,各种安全控制活动可被划分为三大板块,涵盖云服务安全治理、云服务管理支撑、数据中心运营、云基础架构、云平台运营、云服务产品安全、安全运营、商业运营八个领域。这些领域包含了云服务各业务模块的全流程,各领域之间层次关系鲜明,组织可以有明确的依据,将各种安全管理职责落实到相关职能的责任部门当中。
基于云服务全流程的“3CS”安全管理框架
2、可审核、可追溯、可度量,便于落地
为便于推动“3CS”体系的有效落地,体系中对各部门该履行的责任进行了明确划分,对每条控制要求均制定了具体的审核指南,采用自动化工具对操作行为进行跟踪管理,对所有审核记录保留完整证据链,对管理效果制定了可度量方法和指标。
3、具备行业普适性
“3CS”体系不止使用于华为云自身,对于业界进行有效的安全治理均有极大参考意义。相比传统的安全管理体系,它在进行框架设计时就考虑到在行业内的普遍适用性,各组织在应用此治理框架时均可根据本组织的职能划分,进一步对框架内各控制领域进行调整,使之更好地适配组织的治理架构。
邹丰指出,目前“3CS”已经在华为云内部成功落地实施并取得优秀成果。依据“3CS”的控制要求,华为云对云服务各流程领域执行了对应的控制措施,在各部门进行了安全控制的强化,各部门及产品线的安全能力都得到进一步的提升。
在练好内功,强化安全能力的同时,华为云通过接受多国监管部门的监督及国际权威机构的审计及评估,确保华为云的安全能力是可验证的。目前,华为云已累计获得80+安全合规认证,并发布20+安全遵从性白皮书,满足全球客户业务合规和可适用的隐私保护要求,为客户业务安全保驾护航。
(原标题:华为云首创 “3CS” 安全治理体系,三大亮点护航企业业务安全高效)
