云服務的用戶數(shù)據(jù)保護能力評估是從可信云評估而來,但是它又是一個單獨聚焦于數(shù)據(jù)安全的評估。我們現(xiàn)在已經(jīng)制定完成了用戶數(shù)據(jù)保護能力的兩項標準,分別是《云服務用戶數(shù)據(jù)保護能力參考框架》和《云服務用戶數(shù)據(jù)保護能力評估方法 第1部分:公有云》,這兩項標準在國內(nèi)眾多的云服務廠商和安全廠商的大力支持和參與制下,經(jīng)過了周密的制定,現(xiàn)在已經(jīng)正式制定完成,今天正式發(fā)布。這項標準是聚焦于云服務的用戶數(shù)據(jù),而不會涉及到云服務的衍生數(shù)據(jù)和云服務產(chǎn)生的數(shù)據(jù)。它構建了一個云服務的用戶保護能力的參考的框架。從數(shù)據(jù)的事前防范、事中保護和事后追溯這樣一個全生命周期的流程,提煉出用戶數(shù)據(jù)保護能力的18大類38項的具體行業(yè)指標,全面構建數(shù)據(jù)安全保護的“行業(yè)公約”。這就是我們涉及到的一些數(shù)據(jù)保護能力的具體的指標項。另外還有一個很大的特點,數(shù)據(jù)保護能力評估是從用戶的視角出發(fā),把用戶最關切的數(shù)據(jù)安全保護的能力來提煉出具體的行業(yè)的指標,能夠解決用戶的憂慮。可以看一下這個圖,我們從不同的視角出發(fā),關注的用戶安全的指標也不太一樣,可以有國家的視角、企業(yè)的視角還有用戶的視角,而我們這個標準創(chuàng)新性的從用戶的視角來出發(fā),并且聚焦在公有云評估的方面。今天我們不但要發(fā)布用戶數(shù)據(jù)安全的兩項標準,另外我們也即將開啟用戶數(shù)據(jù)保護能力的第一批評估,也歡迎各云服務計算的廠商關注和參與。還有值得一提的是我們這兩項標準得到了行業(yè)內(nèi)眾多企業(yè)的支持,像UCloud、騰訊、阿里、京東、華為、金山云等等,我在這不一一點名了,在此對大家一并表示衷心的感謝。我們合力制定的這項標準一方面是要為云計算服務廠商來規(guī)范他的用戶數(shù)據(jù)保護規(guī)范的建設能力,另一方面也為第三方的行業(yè)組織開展用戶數(shù)據(jù)保護提供評估服務。我們希望通過此項工作,集合大家的力量,能夠規(guī)范和完善這個行業(yè)的安全能力,促進這個行業(yè)安全生態(tài)的形成。
栗蔚:在我們制定過程當中我們所有服務商都覺得我們需要一個針對云計算的特別是數(shù)據(jù)保護的標準,從你制定過程中的角度,你是怎么看專項的云服務數(shù)據(jù)保護能力跟我們其他的可信云一些標準評估的關系或者說它獨立的一個價值?
封莎:我們?yōu)槭裁匆贫ㄒ粋這樣的單獨的用戶數(shù)據(jù)保護能力的評估的標準,原因很簡單,當前云計算行業(yè)急需一個關于用戶數(shù)據(jù)安全的行業(yè)的標準和規(guī)范,當前還沒有一個從用戶角度出發(fā)的相關的標準和評估的體系。我們國內(nèi)的云計算廠商一直以來還是非常重視用戶數(shù)據(jù)保護的,很多企業(yè)甚至提出了像用戶隱私是第一生命線等等這樣一些口號,但是依然難以解決用戶對于自己數(shù)據(jù)安全的憂慮。今年5月份,有網(wǎng)友在網(wǎng)上發(fā)帖,稱阿里云對用戶的數(shù)據(jù)進行了監(jiān)控,雖然阿里云之后也發(fā)表了聲明,說不會對用戶數(shù)據(jù)進行監(jiān)控也不會對用戶出口的流量進行監(jiān)控。在這件事情發(fā)生后不久,半個月之內(nèi)騰訊云也曝出類似事件。為什么短短的時間之接連曝出類似的事件,這也引起了行業(yè)內(nèi)大家廣泛的討論。除了這樣的事件還有另外一個方面,我們的云服務商也在由于這個行業(yè)標準規(guī)范的缺失而承受著損失,我們的云服務商他對數(shù)據(jù)安全的保護,他的度和量到底在哪里,正需要我們這樣一個從用戶視角出發(fā)的行業(yè)的數(shù)據(jù)安全標準和規(guī)范來對它進行約束。另外一方面,現(xiàn)在為什么說沒有一個從用戶數(shù)據(jù)保護出發(fā)的評估和標準,云計算安全從不同的視角看,其實看到的是不同的內(nèi)容,比如像國家的視角,站在國家的高度,全面關注一個用戶數(shù)據(jù)的安全性和可性用,主要關注的像數(shù)據(jù)管理責任、數(shù)據(jù)主權還有跨境流動等等這樣一些問題。企業(yè)視角是從企業(yè)業(yè)務連續(xù)運轉不出差錯的角度,關注的可能是企業(yè)是否具備與其相應的數(shù)據(jù)保護的技術能力和管理的要求。用戶的角度完全不同于國家視角和企業(yè)視角,從用戶角度出發(fā),關切的是從用戶的感知能夠感知到的數(shù)據(jù)安全的需求和問題。我們現(xiàn)在做的這件事情就是想要從用戶角度出發(fā)來定義數(shù)據(jù)安全到底有哪些我們企業(yè)必須要達到的能力和指標。
栗蔚:數(shù)據(jù)安全這個事,之前誰都沒有說清楚,標準到底要做成什么樣,其實大家內(nèi)心都有這種渴望,但它到底量化成什么樣,下午有一個云安全的專門的分論壇,封莎也會對它進行一個非常詳細的再解讀,歡迎大家關注下午云安全的分論壇。
