云服务的用户数据保护能力评估是从可信云评估而来,但是它又是一个单独聚焦于数据安全的评估。我们现在已经制定完成了用户数据保护能力的两项标准,分别是《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》,这两项标准在国内众多的云服务厂商和安全厂商的大力支持和参与制下,经过了周密的制定,现在已经正式制定完成,今天正式发布。这项标准是聚焦于云服务的用户数据,而不会涉及到云服务的衍生数据和云服务产生的数据。它构建了一个云服务的用户保护能力的参考的框架。从数据的事前防范、事中保护和事后追溯这样一个全生命周期的流程,提炼出用户数据保护能力的18大类38项的具体行业指标,全面构建数据安全保护的“行业公约”。这就是我们涉及到的一些数据保护能力的具体的指标项。另外还有一个很大的特点,数据保护能力评估是从用户的视角出发,把用户最关切的数据安全保护的能力来提炼出具体的行业的指标,能够解决用户的忧虑。可以看一下这个图,我们从不同的视角出发,关注的用户安全的指标也不太一样,可以有国家的视角、企业的视角还有用户的视角,而我们这个标准创新性的从用户的视角来出发,并且聚焦在公有云评估的方面。今天我们不但要发布用户数据安全的两项标准,另外我们也即将开启用户数据保护能力的第一批评估,也欢迎各云服务计算的厂商关注和参与。还有值得一提的是我们这两项标准得到了行业内众多企业的支持,像UCloud、腾讯、阿里、京东、华为、金山云等等,我在这不一一点名了,在此对大家一并表示衷心的感谢。我们合力制定的这项标准一方面是要为云计算服务厂商来规范他的用户数据保护规范的建设能力,另一方面也为第三方的行业组织开展用户数据保护提供评估服务。我们希望通过此项工作,集合大家的力量,能够规范和完善这个行业的安全能力,促进这个行业安全生态的形成。
栗蔚:在我们制定过程当中我们所有服务商都觉得我们需要一个针对云计算的特别是数据保护的标准,从你制定过程中的角度,你是怎么看专项的云服务数据保护能力跟我们其他的可信云一些标准评估的关系或者说它独立的一个价值?
封莎:我们为什么要制定一个这样的单独的用户数据保护能力的评估的标准,原因很简单,当前云计算行业急需一个关于用户数据安全的行业的标准和规范,当前还没有一个从用户角度出发的相关的标准和评估的体系。我们国内的云计算厂商一直以来还是非常重视用户数据保护的,很多企业甚至提出了像用户隐私是第一生命线等等这样一些口号,但是依然难以解决用户对于自己数据安全的忧虑。今年5月份,有网友在网上发帖,称阿里云对用户的数据进行了监控,虽然阿里云之后也发表了声明,说不会对用户数据进行监控也不会对用户出口的流量进行监控。在这件事情发生后不久,半个月之内腾讯云也曝出类似事件。为什么短短的时间之接连曝出类似的事件,这也引起了行业内大家广泛的讨论。除了这样的事件还有另外一个方面,我们的云服务商也在由于这个行业标准规范的缺失而承受着损失,我们的云服务商他对数据安全的保护,他的度和量到底在哪里,正需要我们这样一个从用户视角出发的行业的数据安全标准和规范来对它进行约束。另外一方面,现在为什么说没有一个从用户数据保护出发的评估和标准,云计算安全从不同的视角看,其实看到的是不同的内容,比如像国家的视角,站在国家的高度,全面关注一个用户数据的安全性和可性用,主要关注的像数据管理责任、数据主权还有跨境流动等等这样一些问题。企业视角是从企业业务连续运转不出差错的角度,关注的可能是企业是否具备与其相应的数据保护的技术能力和管理的要求。用户的角度完全不同于国家视角和企业视角,从用户角度出发,关切的是从用户的感知能够感知到的数据安全的需求和问题。我们现在做的这件事情就是想要从用户角度出发来定义数据安全到底有哪些我们企业必须要达到的能力和指标。
栗蔚:数据安全这个事,之前谁都没有说清楚,标准到底要做成什么样,其实大家内心都有这种渴望,但它到底量化成什么样,下午有一个云安全的专门的分论坛,封莎也会对它进行一个非常详细的再解读,欢迎大家关注下午云安全的分论坛。
