上周,Amazon 的 Amazon Web Services(AWS)被授予 ISO/IEC 27001 认证。该认证有着重要意义,因为 ISO 27001 可以授权进行特定的管理与需求控制。虽然该项认证并非是针对于云的,但它却向业界管理、风险以及兼容性迈出了重要一步。它标志着 Amazon 公共云已经真正成熟起来,并且超出了它的竞争者,同时也扫清了众多 CIO 的顾虑,他们过去通常会认为采取公共云计算并不会为企业所接受,现在这种担心已经不复存在了。
ISO/IEC 27001 认证是个 3 阶段审计的过程:
阶段 1——审核信息安全管理系统(即 ISMS),这是一套用于管理信息安全与 IT 风险的规章制度。
阶段 2——由独立审计员针对 ISO/IEC 27001 所进行的详细、正规的法规审计。通过这个阶段就标志着企业符合 ISO/IEC 27001 的规定。
阶段 3——维护阶段,包含后续的审核或是审计,在一定周期内进行以确保符合 ISO/IEC 27001 的规定。通常的周期为每年一次,但如果 ISMS 发生了变化则可能会增加次数。
在被问到团队为何没有继续 ISO/IEC 27002 认证时,AWS 网站是这样解释的:
我们并没有透露出所有的控制,当然了,我们认为 27002 中的所有相关指南文档都很适合于 AWS 基础设施、数据中心以及服务,包括 EC2、S3 以及 VPC。作为认证过程的一部分,审计员证实我们为自己的系统与服务实施了 27002 指南的各个方面。
Amazon 并非取得该项认证的首个云供应商,因为 Salesforce.com 早在之前就已经获得了该项认证,微软也积极地为其 Business Productivity Online Suite 取得 ISO 27000 家族认证而忙个不停。我们还不清楚该项认证到底有何价值,但至少它提供了一个安全标准,通过这个标准可以比较各个竞争平台厂商的 ISMS。
评论