云服務(wù)的用戶(hù)數據保護能力評估是從可信云評估而來(lái),但是它又是一個(gè)單獨聚焦于數據安全的評估。我們現在已經(jīng)制定完成了用戶(hù)數據保護能力的兩項標準,分別是《云服務(wù)用戶(hù)數據保護能力參考框架》和《云服務(wù)用戶(hù)數據保護能力評估方法 第1部分:公有云》,這兩項標準在國內眾多的云服務(wù)廠(chǎng)商和安全廠(chǎng)商的大力支持和參與制下,經(jīng)過(guò)了周密的制定,現在已經(jīng)正式制定完成,今天正式發(fā)布。這項標準是聚焦于云服務(wù)的用戶(hù)數據,而不會(huì )涉及到云服務(wù)的衍生數據和云服務(wù)產(chǎn)生的數據。它構建了一個(gè)云服務(wù)的用戶(hù)保護能力的參考的框架。從數據的事前防范、事中保護和事后追溯這樣一個(gè)全生命周期的流程,提煉出用戶(hù)數據保護能力的18大類(lèi)38項的具體行業(yè)指標,全面構建數據安全保護的“行業(yè)公約”。這就是我們涉及到的一些數據保護能力的具體的指標項。另外還有一個(gè)很大的特點(diǎn),數據保護能力評估是從用戶(hù)的視角出發(fā),把用戶(hù)最關(guān)切的數據安全保護的能力來(lái)提煉出具體的行業(yè)的指標,能夠解決用戶(hù)的憂(yōu)慮。可以看一下這個(gè)圖,我們從不同的視角出發(fā),關(guān)注的用戶(hù)安全的指標也不太一樣,可以有國家的視角、企業(yè)的視角還有用戶(hù)的視角,而我們這個(gè)標準創(chuàng )新性的從用戶(hù)的視角來(lái)出發(fā),并且聚焦在公有云評估的方面。今天我們不但要發(fā)布用戶(hù)數據安全的兩項標準,另外我們也即將開(kāi)啟用戶(hù)數據保護能力的第一批評估,也歡迎各云服務(wù)計算的廠(chǎng)商關(guān)注和參與。還有值得一提的是我們這兩項標準得到了行業(yè)內眾多企業(yè)的支持,像UCloud、騰訊、阿里、京東、華為、金山云等等,我在這不一一點(diǎn)名了,在此對大家一并表示衷心的感謝。我們合力制定的這項標準一方面是要為云計算服務(wù)廠(chǎng)商來(lái)規范他的用戶(hù)數據保護規范的建設能力,另一方面也為第三方的行業(yè)組織開(kāi)展用戶(hù)數據保護提供評估服務(wù)。我們希望通過(guò)此項工作,集合大家的力量,能夠規范和完善這個(gè)行業(yè)的安全能力,促進(jìn)這個(gè)行業(yè)安全生態(tài)的形成。
栗蔚:在我們制定過(guò)程當中我們所有服務(wù)商都覺(jué)得我們需要一個(gè)針對云計算的特別是數據保護的標準,從你制定過(guò)程中的角度,你是怎么看專(zhuān)項的云服務(wù)數據保護能力跟我們其他的可信云一些標準評估的關(guān)系或者說(shuō)它獨立的一個(gè)價(jià)值?
封莎:我們?yōu)槭裁匆贫ㄒ粋(gè)這樣的單獨的用戶(hù)數據保護能力的評估的標準,原因很簡(jiǎn)單,當前云計算行業(yè)急需一個(gè)關(guān)于用戶(hù)數據安全的行業(yè)的標準和規范,當前還沒(méi)有一個(gè)從用戶(hù)角度出發(fā)的相關(guān)的標準和評估的體系。我們國內的云計算廠(chǎng)商一直以來(lái)還是非常重視用戶(hù)數據保護的,很多企業(yè)甚至提出了像用戶(hù)隱私是第一生命線(xiàn)等等這樣一些口號,但是依然難以解決用戶(hù)對于自己數據安全的憂(yōu)慮。今年5月份,有網(wǎng)友在網(wǎng)上發(fā)帖,稱(chēng)阿里云對用戶(hù)的數據進(jìn)行了監控,雖然阿里云之后也發(fā)表了聲明,說(shuō)不會(huì )對用戶(hù)數據進(jìn)行監控也不會(huì )對用戶(hù)出口的流量進(jìn)行監控。在這件事情發(fā)生后不久,半個(gè)月之內騰訊云也曝出類(lèi)似事件。為什么短短的時(shí)間之接連曝出類(lèi)似的事件,這也引起了行業(yè)內大家廣泛的討論。除了這樣的事件還有另外一個(gè)方面,我們的云服務(wù)商也在由于這個(gè)行業(yè)標準規范的缺失而承受著(zhù)損失,我們的云服務(wù)商他對數據安全的保護,他的度和量到底在哪里,正需要我們這樣一個(gè)從用戶(hù)視角出發(fā)的行業(yè)的數據安全標準和規范來(lái)對它進(jìn)行約束。另外一方面,現在為什么說(shuō)沒(méi)有一個(gè)從用戶(hù)數據保護出發(fā)的評估和標準,云計算安全從不同的視角看,其實(shí)看到的是不同的內容,比如像國家的視角,站在國家的高度,全面關(guān)注一個(gè)用戶(hù)數據的安全性和可性用,主要關(guān)注的像數據管理責任、數據主權還有跨境流動(dòng)等等這樣一些問(wèn)題。企業(yè)視角是從企業(yè)業(yè)務(wù)連續運轉不出差錯的角度,關(guān)注的可能是企業(yè)是否具備與其相應的數據保護的技術(shù)能力和管理的要求。用戶(hù)的角度完全不同于國家視角和企業(yè)視角,從用戶(hù)角度出發(fā),關(guān)切的是從用戶(hù)的感知能夠感知到的數據安全的需求和問(wèn)題。我們現在做的這件事情就是想要從用戶(hù)角度出發(fā)來(lái)定義數據安全到底有哪些我們企業(yè)必須要達到的能力和指標。
栗蔚:數據安全這個(gè)事,之前誰(shuí)都沒(méi)有說(shuō)清楚,標準到底要做成什么樣,其實(shí)大家內心都有這種渴望,但它到底量化成什么樣,下午有一個(gè)云安全的專(zhuān)門(mén)的分論壇,封莎也會(huì )對它進(jìn)行一個(gè)非常詳細的再解讀,歡迎大家關(guān)注下午云安全的分論壇。
