云服務(wù)的用戶數(shù)據(jù)保護(hù)能力評(píng)估是從可信云評(píng)估而來(lái),但是它又是一個(gè)單獨(dú)聚焦于數(shù)據(jù)安全的評(píng)估。我們現(xiàn)在已經(jīng)制定完成了用戶數(shù)據(jù)保護(hù)能力的兩項(xiàng)標(biāo)準(zhǔn),分別是《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法 第1部分:公有云》,這兩項(xiàng)標(biāo)準(zhǔn)在國(guó)內(nèi)眾多的云服務(wù)廠商和安全廠商的大力支持和參與制下,經(jīng)過(guò)了周密的制定,現(xiàn)在已經(jīng)正式制定完成,今天正式發(fā)布。這項(xiàng)標(biāo)準(zhǔn)是聚焦于云服務(wù)的用戶數(shù)據(jù),而不會(huì)涉及到云服務(wù)的衍生數(shù)據(jù)和云服務(wù)產(chǎn)生的數(shù)據(jù)。它構(gòu)建了一個(gè)云服務(wù)的用戶保護(hù)能力的參考的框架。從數(shù)據(jù)的事前防范、事中保護(hù)和事后追溯這樣一個(gè)全生命周期的流程,提煉出用戶數(shù)據(jù)保護(hù)能力的18大類38項(xiàng)的具體行業(yè)指標(biāo),全面構(gòu)建數(shù)據(jù)安全保護(hù)的“行業(yè)公約”。這就是我們涉及到的一些數(shù)據(jù)保護(hù)能力的具體的指標(biāo)項(xiàng)。另外還有一個(gè)很大的特點(diǎn),數(shù)據(jù)保護(hù)能力評(píng)估是從用戶的視角出發(fā),把用戶最關(guān)切的數(shù)據(jù)安全保護(hù)的能力來(lái)提煉出具體的行業(yè)的指標(biāo),能夠解決用戶的憂慮?梢钥匆幌逻@個(gè)圖,我們從不同的視角出發(fā),關(guān)注的用戶安全的指標(biāo)也不太一樣,可以有國(guó)家的視角、企業(yè)的視角還有用戶的視角,而我們這個(gè)標(biāo)準(zhǔn)創(chuàng)新性的從用戶的視角來(lái)出發(fā),并且聚焦在公有云評(píng)估的方面。今天我們不但要發(fā)布用戶數(shù)據(jù)安全的兩項(xiàng)標(biāo)準(zhǔn),另外我們也即將開(kāi)啟用戶數(shù)據(jù)保護(hù)能力的第一批評(píng)估,也歡迎各云服務(wù)計(jì)算的廠商關(guān)注和參與。還有值得一提的是我們這兩項(xiàng)標(biāo)準(zhǔn)得到了行業(yè)內(nèi)眾多企業(yè)的支持,像UCloud、騰訊、阿里、京東、華為、金山云等等,我在這不一一點(diǎn)名了,在此對(duì)大家一并表示衷心的感謝。我們合力制定的這項(xiàng)標(biāo)準(zhǔn)一方面是要為云計(jì)算服務(wù)廠商來(lái)規(guī)范他的用戶數(shù)據(jù)保護(hù)規(guī)范的建設(shè)能力,另一方面也為第三方的行業(yè)組織開(kāi)展用戶數(shù)據(jù)保護(hù)提供評(píng)估服務(wù)。我們希望通過(guò)此項(xiàng)工作,集合大家的力量,能夠規(guī)范和完善這個(gè)行業(yè)的安全能力,促進(jìn)這個(gè)行業(yè)安全生態(tài)的形成。
栗蔚:在我們制定過(guò)程當(dāng)中我們所有服務(wù)商都覺(jué)得我們需要一個(gè)針對(duì)云計(jì)算的特別是數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn),從你制定過(guò)程中的角度,你是怎么看專項(xiàng)的云服務(wù)數(shù)據(jù)保護(hù)能力跟我們其他的可信云一些標(biāo)準(zhǔn)評(píng)估的關(guān)系或者說(shuō)它獨(dú)立的一個(gè)價(jià)值?
封莎:我們?yōu)槭裁匆贫ㄒ粋(gè)這樣的單獨(dú)的用戶數(shù)據(jù)保護(hù)能力的評(píng)估的標(biāo)準(zhǔn),原因很簡(jiǎn)單,當(dāng)前云計(jì)算行業(yè)急需一個(gè)關(guān)于用戶數(shù)據(jù)安全的行業(yè)的標(biāo)準(zhǔn)和規(guī)范,當(dāng)前還沒(méi)有一個(gè)從用戶角度出發(fā)的相關(guān)的標(biāo)準(zhǔn)和評(píng)估的體系。我們國(guó)內(nèi)的云計(jì)算廠商一直以來(lái)還是非常重視用戶數(shù)據(jù)保護(hù)的,很多企業(yè)甚至提出了像用戶隱私是第一生命線等等這樣一些口號(hào),但是依然難以解決用戶對(duì)于自己數(shù)據(jù)安全的憂慮。今年5月份,有網(wǎng)友在網(wǎng)上發(fā)帖,稱阿里云對(duì)用戶的數(shù)據(jù)進(jìn)行了監(jiān)控,雖然阿里云之后也發(fā)表了聲明,說(shuō)不會(huì)對(duì)用戶數(shù)據(jù)進(jìn)行監(jiān)控也不會(huì)對(duì)用戶出口的流量進(jìn)行監(jiān)控。在這件事情發(fā)生后不久,半個(gè)月之內(nèi)騰訊云也曝出類似事件。為什么短短的時(shí)間之接連曝出類似的事件,這也引起了行業(yè)內(nèi)大家廣泛的討論。除了這樣的事件還有另外一個(gè)方面,我們的云服務(wù)商也在由于這個(gè)行業(yè)標(biāo)準(zhǔn)規(guī)范的缺失而承受著損失,我們的云服務(wù)商他對(duì)數(shù)據(jù)安全的保護(hù),他的度和量到底在哪里,正需要我們這樣一個(gè)從用戶視角出發(fā)的行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)和規(guī)范來(lái)對(duì)它進(jìn)行約束。另外一方面,現(xiàn)在為什么說(shuō)沒(méi)有一個(gè)從用戶數(shù)據(jù)保護(hù)出發(fā)的評(píng)估和標(biāo)準(zhǔn),云計(jì)算安全從不同的視角看,其實(shí)看到的是不同的內(nèi)容,比如像國(guó)家的視角,站在國(guó)家的高度,全面關(guān)注一個(gè)用戶數(shù)據(jù)的安全性和可性用,主要關(guān)注的像數(shù)據(jù)管理責(zé)任、數(shù)據(jù)主權(quán)還有跨境流動(dòng)等等這樣一些問(wèn)題。企業(yè)視角是從企業(yè)業(yè)務(wù)連續(xù)運(yùn)轉(zhuǎn)不出差錯(cuò)的角度,關(guān)注的可能是企業(yè)是否具備與其相應(yīng)的數(shù)據(jù)保護(hù)的技術(shù)能力和管理的要求。用戶的角度完全不同于國(guó)家視角和企業(yè)視角,從用戶角度出發(fā),關(guān)切的是從用戶的感知能夠感知到的數(shù)據(jù)安全的需求和問(wèn)題。我們現(xiàn)在做的這件事情就是想要從用戶角度出發(fā)來(lái)定義數(shù)據(jù)安全到底有哪些我們企業(yè)必須要達(dá)到的能力和指標(biāo)。
栗蔚:數(shù)據(jù)安全這個(gè)事,之前誰(shuí)都沒(méi)有說(shuō)清楚,標(biāo)準(zhǔn)到底要做成什么樣,其實(shí)大家內(nèi)心都有這種渴望,但它到底量化成什么樣,下午有一個(gè)云安全的專門(mén)的分論壇,封莎也會(huì)對(duì)它進(jìn)行一個(gè)非常詳細(xì)的再解讀,歡迎大家關(guān)注下午云安全的分論壇。
