一文透析騰訊安全多體系融合策略在合規中的優勢

騰訊安全發表於2019-12-03
“等保2.0” 大考正式來臨,很多企業對如何通過等保測評還存在疑問,有一些企業甚至還沒有開始做任何準備。現在臨時抱佛腳是否來得及,從長遠的規劃上又應該怎麼做呢?

28日在CIS 2019網路安全創新大會上,騰訊安全專家王餘進行了題為《雲租戶等保合規探索》的演講,他在演講中提到“騰訊作為雲服務商,一直以來希望將自身高效通過等保以及其它合規的經驗分享給使用者,並通過能力的輸出,幫助客戶獲得等保合規的基線要求。”

一文透析騰訊安全多體系融合策略在合規中的優勢(騰訊安全專家王餘在CIS 2019分享雲租戶等保合規探索)

騰訊雲公有云平臺和金融雲平臺,自2016年12月開始按照等保2.0試行版標準開展等保備案和測評工作,並最終在2017年5月《網路安全法》正式實施之際,通過了公有云平臺三級,金融雲平臺四級的測評。近期,騰訊雲又在一次資質稽核的過程中,通過了包含ISO/IEC 27001:2013,ISO/IEC 27017:2015,ISO/IEC 27018:2014,ISO/IEC 20000-1:2018,ISO 22301:2012,ISO 9001:2015以及CSA STAR七項資質在內的合規認證。這些資質的範圍覆蓋了雲資訊保安、個人資訊保護、IT服務管理、業務連續性及質量管理體系等領域。(點選閱讀《全球首家!騰訊雲隱私安全管理獲ISO/IEC 27701:2019認證》

騰訊雲安全合規負責人、雲鼎實驗室合規審計副總監王婷認為“等級保護體系的建設、測評和運營,既包括技術問題,也包括管理問題。而管理體系建設和運營的難中之難,則在“落地”二字,包括多項流程規範的落地,也包括管理體系和技術體系的融合。”


那麼,騰訊雲是如何建立完備的資訊保安管理和技術運營體系,相容幷包的優化組合各項流程和技術規範,同時滿足包括等級保護和多項ISO安全管理標準的要求?如何在最短時間內快速通過公有云等保三級和金融雲等保四級等高標準認證?又是通過怎樣的優化合規治理方式,在一次稽核中完成多達七項標準的合規認證的呢?本文將從企業安全治理的角度,分析騰訊安全多體系融合策略在標準管理和合規治理中的優點。


多標準融合五大支柱體系

三大優勢助力合規提質增效


所有的標準認證都有期限,由於騰訊雲業務種類、規模的不斷擴充套件,國內外資訊保安標準的相繼出臺,各標準所要求的控制內容和強度也會發生變化,所以每年的複審都是一次新的挑戰。


目前,騰訊雲有超過40個資質或認證。如果每個標準各成體系的話,將會為騰訊雲的合規工作帶來巨大的困難。為了加快合規工作的效率,提升合規成功率,騰訊雲將諸多標準融合為5大支柱體系,並通過交叉引用形成1套內控文件體系。


一文透析騰訊安全多體系融合策略在合規中的優勢

(騰訊雲安全合規多體系融合策略)


在此過程中,騰訊雲以ISO/IEC 27001,ISO/IEC 27701,ISO/IEC 20000,ISO 22301和ISO/IEC 9001為主體結構,建立了雲安全管理體系、個人資訊管理體系、IT服務管理體系、業務連續性管理體系和質量管理體系,並通過流程複用、關聯引用、刪繁就簡、綜合要求等方式,消除不同體系之間的冗餘與差異,最終形成一套清晰完整、層次分明的騰訊雲內部控制體系。


這樣一來,合規部門和產品部門在日常準備稽核文件時時只需要按照五大體系來籌備,產品現場稽核時也不再需要針對不同的標準體系進行劃分,大大提高了稽核效率,降低了平臺和產品一線員工的稽核壓力。總的來說,多體系融合為企業通過標準稽核認證帶來了三大優勢:

節約時間。一般而言不計算前期的準備,單個認證的稽核週期一般在2周左右,以此次騰訊雲通過7個認證為例,如果每次稽核只通過一個認證,7個認證將會佔用超過10周的時間,這將大大影響產品團隊的日常工作。而在多體系融合策略的幫助下,7個認證一次性通過,其稽核週期不超過4周,大大縮短了對產品和業務的影響;

節約成本。由於不同的標準體系之間存在交叉的部分,因此如果對每個標準進行單獨稽核,將會存在重複的稽核內容,例如ISO系列標準均遵從PDCA模型,若單獨進行認證,這部分工作每次都將重複進行。因此,當多體系融合之後有助於減少重複工作,在縮短稽核時間的同時,減少稽核成本。

管控要求統一。針對同一個產品或領域,不同體系會有不同的要求,例如資訊保安標準和個人資訊保護方面的標準可能對同一個功能有不同要求,如果單個標準獨立實施,可能出現重複整改或者不一致的情況。而多體系融合之後,能夠制定同時符合多個標準要求的方案,避免了重複整改的問題。

技術能力與管理經驗雙重輸出

幫助企業客戶通過等保大考


等保2.0圍繞“一箇中心,三重防護”的理念提出了很多更加嚴格的要求,騰訊作為雲服務商,在自身雲平臺高分通過等保2.0的基礎上,也希望將自己的技術能力和管理經驗輸出給雲上客戶,幫助客戶通過即將到來的等保大考。


在技術能力層面,目前,騰訊公有云已通過等級保護三級、騰訊金融雲已通過等級保護四級要求,可以為雲租戶提供一個合規的雲平臺,這也是租戶業務系統通過等級保護2.0測評的先決條件。具體到安全產品和服務,針對等保二級和三級的要求,騰訊安全擁有包含Web應用防火牆、DDoS高防、資料安全閘道器、資料庫審計和資料加密等基礎安全產品體系,能為政企客戶提供基於 AI 的一站式 Web 業務運營風險防護、多種 DDoS 解決方案、結合AI的集中運維管理以及人工智慧資料庫安全審計系統等解決方案,並通過金鑰管理的SDK和API等服務為雲上客戶極簡地接入資料加密。

在管理經驗的層面,騰訊提供了專業的專家諮詢服務,在短期規劃上,通過APP安全加固等在內的針對等保二級和三級要求的基礎服務,能夠協助企業識別資訊資產及業務流程的資訊保安弱點,並針對資訊保安威脅提供資訊保安風險處理規劃建議;在中長期的規劃上,可以根據客戶的動機進行差異分析,明確一個長期目標設計可以落地執行的規劃,將騰訊內部總結的包含多體系融合在內的各種管理經驗和方法論輸出給客戶,提升客戶對等保和其它標準合規的安全能力建設。

此外,還有專門針對為雲上客戶提供系統化的網路安全等級保護合規建設和測評服務的渠道。讓安全建設不再是企業的負擔。

相關文章