華為云聯(lián)合信通院發(fā)布《云服務安全治理白皮書》，構建安全治理新體系

7月28日，以“數(shù)字裂變，可信發(fā)展”為主題的2021可信云大會在北京繼續(xù)舉行。大會主題演講環(huán)節(jié)，華為云安全治理總監(jiān)鄒豐發(fā)表了“面向可信的云安全治理體系“的主題演講，分享了華為云在安全治理上的成果以及華為云整體的安全能力。大會上，華為云還聯(lián)合中國信通院發(fā)布了《云服務安全治理白皮書》，系統(tǒng)闡釋了華為云對云服務安全治理的理解和能力，詳細解讀了云服務網(wǎng)絡安全與合規(guī)標準(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD，簡稱“3CS”)，幫助云服務提供商和客戶快速提升安全治理能力。

鄒豐表示，隨著云計算飛速發(fā)展，全球網(wǎng)絡安全監(jiān)管也越來越嚴，云服務提供商和客戶需要加強自身安全能力建設，滿足監(jiān)管要求。于云服務提供商來說，“3CS”體系可幫助其建立覆蓋云計算服務所有流程的云安全治理體系，從而更好地為客戶提供安全可信的云計算服務，增強客戶的信任；于云服務客戶來說，可參考3CS治理體系來提高客戶自身的云安全管理能力，另外可借助華為云提供的20+自研安全服務、200+伙伴安全服務，滿足保護云工作負載、保護應用服務、保護數(shù)據(jù)資產(chǎn)、管理安全態(tài)勢和合規(guī)上云等方面的需求，構建立體的云安全防護能力。

華為云首創(chuàng)“3CS” 體系，滿足更高安全治理需求

目前，業(yè)界多數(shù)的云安全管理體系與云服務各管理流程缺乏關聯(lián)性，不利于職能部門理解自身需要承擔的安全職責，一定情況下導致部分安全職責無人承擔，無法滿足業(yè)務規(guī)模不斷發(fā)展壯大的云服務提供商的安全治理需求。在此背景下，華為云通過持續(xù)經(jīng)營和反復探索，確立了一種開放、包容、不斷發(fā)展和優(yōu)化的安全治理方法，用以控制、審核、度量與評估云服務安全管理的有效性以及對監(jiān)管要求的遵從性，即“3CS”體系。

“3CS”體系的創(chuàng)建以業(yè)界多個主流安全標準為參考基礎，并融合了華為三十年安全運營管理經(jīng)驗。其基礎理念是基于云服務各業(yè)務模塊的流程，劃分相對應的安全控制領域，使安全控制要求得以嵌入到云服務管理流程中，且確保安全管理責任清晰明確、可度量、可追溯，從而實現(xiàn)全面有效的安全治理?！?/p>

3CS”體系具備以下核心亮點：

1、與云服務各業(yè)務流程緊密結合

在“3CS”體系的安全管理框架中，各種安全控制活動可被劃分為三大板塊，涵蓋云服務安全治理、云服務管理支撐、數(shù)據(jù)中心運營、云基礎架構、云平臺運營、云服務產(chǎn)品安全、安全運營、商業(yè)運營八個領域。這些領域包含了云服務各業(yè)務模塊的全流程，各領域之間層次關系鮮明，組織可以有明確的依據(jù)，將各種安全管理職責落實到相關職能的責任部門當中。

基于云服務全流程的“3CS”安全管理框架

2、可審核、可追溯、可度量，便于落地

為便于推動“3CS”體系的有效落地，體系中對各部門該履行的責任進行了明確劃分，對每條控制要求均制定了具體的審核指南，采用自動化工具對操作行為進行跟蹤管理，對所有審核記錄保留完整證據(jù)鏈，對管理效果制定了可度量方法和指標。

3、具備行業(yè)普適性

“3CS”體系不止使用于華為云自身，對于業(yè)界進行有效的安全治理均有極大參考意義。相比傳統(tǒng)的安全管理體系，它在進行框架設計時就考慮到在行業(yè)內(nèi)的普遍適用性，各組織在應用此治理框架時均可根據(jù)本組織的職能劃分，進一步對框架內(nèi)各控制領域進行調(diào)整，使之更好地適配組織的治理架構。

鄒豐指出，目前“3CS”已經(jīng)在華為云內(nèi)部成功落地實施并取得優(yōu)秀成果。依據(jù)“3CS”的控制要求，華為云對云服務各流程領域執(zhí)行了對應的控制措施，在各部門進行了安全控制的強化，各部門及產(chǎn)品線的安全能力都得到進一步的提升。

在練好內(nèi)功，強化安全能力的同時，華為云通過接受多國監(jiān)管部門的監(jiān)督及國際權威機構的審計及評估，確保華為云的安全能力是可驗證的。目前，華為云已累計獲得80+安全合規(guī)認證，并發(fā)布20+安全遵從性白皮書，滿足全球客戶業(yè)務合規(guī)和可適用的隱私保護要求，為客戶業(yè)務安全保駕護航。