阿里云通过 ISO27001 竖立云计算信息安全行业标杆

近日，阿里云计算有限公司通过了由 BSI(英国标准协会) 审核的 ISO27001：2005（信息安全管理体系）认证，成为 BSI 在国内审核通过 ISO27001 的第一家云计算安全服务提供商。

ISO27001 是一项信息安全管理国际标准，该标准由英国标准协会（BSI）于 1995 年 2 月提出并陆续完善，是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全标准。

阿里云计算业务总经理陈金培接受 BSI 高博士颁证

通过 ISO27001 检验阿里云信息安全水平

用户使用云计算最大的障碍之一是对于安全的担忧，作为面向公众提供云计算服务的公司，阿里云不断从管理和技术等方面，提升信息安全水平，提升客户对云计算的信任，让客户能放心的把数据和应用部署在阿里云的云计算平台上。

阿里云已经具备了良好的信息安全管理基础，建立了一套以自动化安全体系为主，辅以管理手段的互联网安全与内控体系，达到国内的领先水平。阿里云的所有信息系统通过国家信息系统等级化保护测评，作为工信部云计算安全试点的企业，阿里云形成了满足国家、国际云计算安全控制要求，可持续的云计算安全评估方法，诞生了覆盖传统信息安全和云计算安全管控的“阿里云安全模型”。阿里云还成为了 CSA（Cloud Security Alliance，云安全联盟）和 BSI 联合推出的面向云服务提供商的安全开放框架在中国大陆地区的第一家试点机构。

ISO27001 是基于信息资产信息安全风险管理为核心的体系，让企业的信息安全管理水平经历严格的审核，从信息安全体系的核心和管控思想两个方面，都能检验阿里云作为云计算服务提供商提供给客户的安全承诺。面对个人信息泄露、个人隐私保护及云计算带来的相关法律和合规要求，ISO27001 对于隐私保护和法律方面的合规管理也提供了规范。

本次认证的通过, 标志着阿里云的信息安全管理水平与国际先进水平完全接轨，而通过 ISO27001 认证，持续提升客户的信任度，也成为阿里云的必经之路。

传统规范使云计算信息安全再上高峰

云计算是一个新兴行业，业界缺乏对于云计算安全管理的相关标准与最佳实践，云计算安全目前仍然缺乏一个国际标准。但即使在云计算的背景下，云计算安全与传统信息安全的安全目标仍是相同的：保护信息资产的保密性、完整性、可用性。诸如信息安全风险管理；人力资源、物理、网络和主机安全；业务连续性；数据中心运维等方面，阿里云将满足 ISO27001:2005 作为基线要求。

由于 ISO27001 是为成熟商业模式设立的安全标准，对云计算与新兴互联网企业在技术和管理方面的需求提出了一些挑战，比如在云计算巨大的网络带宽环境下，传统的防火墙已经在性能上无法支撑云计算海量的网络隔离要求。需要充分满足 ISO27001 的管控要求，但又不被传统安全管理带来的效率制约，是阿里云最大的挑战。阿里云解决了内部架构和人员的调整对管理流程带来的冲击，在多个工具或平台管理上，实现了对控制要求的技术支撑和管理流程的规范，在实施 ISO27001 后，进一步加强了员工的流程意识，将运维方面因流程执行不规范而导致的故障降到了最低。

在通过 ISO27001 审核的过程中，阿里云也获益良多。BSI 培训师帮助阿里云在不断变化的管理和技术要求中，把握住体系建设的核心，明确风险管理的方向。还建议阿里云从提升客户安全信心的角度，将以内部 IDC 基础设施管理为主的认证范围，扩大为以对外产品安全管理为主认证范围。最终阿里云的证书范围中包含了云盾（云安全服务 security as a service）这类对外的产品和服务，相比仅支撑内部安全管理的证书范围，对客户更具备可信任度。

ISO27001 表明阿里云在内部的信息安全管理方面达到了一个新的里程碑，建立了最佳的信息安全运行方式。阿里云将通过 ISO27001，持续提升公司的信息安全管理水平，实现中国云计算企业的安全最佳实践，为客户提供安全的云计算服务。

通过 ISO27001 认证使得阿里云的弹性计算、RDS 及云盾产品在同类企业竞争中更具优势。作为率先通过认证的企业，阿里云认为，从数据安全的角度，承载客户数据、客户应用的云服务商必须通过获得 ISO27001:2005 认证，阿里云希望为行业发展竖立标杆，逐步规范云计算市场，提升行业门槛，保障行业对客户的服务水平。