“等保2.0” 大考正式来临,很多企业对如何通过等保测评还存在疑问,有一些企业甚至还没有开始做任何准备。现在临时抱佛脚是否来得及,从长远的规划上又应该怎么做呢?
28日在CIS 2019网络安全创新大会上,腾讯安全专家王余进行了题为《云租户等保合规探索》的演讲,他在演讲中提到“腾讯作为云服务商,一直以来希望将自身高效通过等保以及其它合规的经验分享给用户,并通过能力的输出,帮助客户获得等保合规的基线要求。”
(腾讯安全专家王余在CIS 2019分享云租户等保合规探索)
腾讯云公有云平台和金融云平台,自2016年12月开始按照等保2.0试行版标准开展等保备案和测评工作,并最终在2017年5月《网络安全法》正式实施之际,通过了公有云平台三级,金融云平台四级的测评。近期,腾讯云又在一次资质审核的过程中,通过了包含ISO/IEC 27001:2013,ISO/IEC 27017:2015,ISO/IEC 27018:2014,ISO/IEC 20000-1:2018,ISO 22301:2012,ISO 9001:2015以及CSA STAR七项资质在内的合规认证。这些资质的范围覆盖了云信息安全、个人信息保护、IT服务管理、业务连续性及质量管理体系等领域。(点击阅读
《全球首家!腾讯云隐私安全管理获ISO/IEC 27701:2019认证》)
腾讯云安全合规负责人、云鼎实验室合规审计副总监王婷认为“等级保护体系的建设、测评和运营,既包括技术问题,也包括管理问题。而管理体系建设和运营的难中之难,则在“落地”二字,包括多项流程规范的落地,也包括管理体系和技术体系的融合。”
那么,腾讯云是如何建立完备的信息安全管理和技术运营体系,兼容并包的优化组合各项流程和技术规范,同时满足包括等级保护和多项ISO安全管理标准的要求?如何在最短时间内快速通过公有云等保三级和金融云等保四级等高标准认证?又是通过怎样的优化合规治理方式,在一次审核中完成多达七项标准的合规认证的呢?本文将从企业安全治理的角度,分析腾讯安全多体系融合策略在标准管理和合规治理中的优点。
多标准融合五大支柱体系
三大优势助力合规提质增效
所有的标准认证都有期限,由于腾讯云业务种类、规模的不断扩展,国内外信息安全标准的相继出台,各标准所要求的控制内容和强度也会发生变化,所以每年的复审都是一次新的挑战。
目前,腾讯云有超过40个资质或认证。如果每个标准各成体系的话,将会为腾讯云的合规工作带来巨大的困难。为了加快合规工作的效率,提升合规成功率,腾讯云将诸多标准融合为5大支柱体系,并通过交叉引用形成1套内控文档体系。
(腾讯云安全合规多体系融合策略)
在此过程中,腾讯云以ISO/IEC 27001,ISO/IEC 27701,ISO/IEC 20000,ISO 22301和ISO/IEC 9001为主体结构,建立了云安全管理体系、个人信息管理体系、IT服务管理体系、业务连续性管理体系和质量管理体系,并通过流程复用、关联引用、删繁就简、综合要求等方式,消除不同体系之间的冗余与差异,最终形成一套清晰完整、层次分明的腾讯云内部控制体系。
这样一来,合规部门和产品部门在日常准备审核文档时时只需要按照五大体系来筹备,产品现场审核时也不再需要针对不同的标准体系进行划分,大大提高了审核效率,降低了平台和产品一线员工的审核压力。总的来说,多体系融合为企业通过标准审核认证带来了三大优势:
节约时间。一般而言不计算前期的准备,单个认证的审核周期一般在2周左右,以此次腾讯云通过7个认证为例,如果每次审核只通过一个认证,7个认证将会占用超过10周的时间,这将大大影响产品团队的日常工作。而在多体系融合策略的帮助下,7个认证一次性通过,其审核周期不超过4周,大大缩短了对产品和业务的影响;
节约成本。由于不同的标准体系之间存在交叉的部分,因此如果对每个标准进行单独审核,将会存在重复的审核内容,例如ISO系列标准均遵从PDCA模型,若单独进行认证,这部分工作每次都将重复进行。因此,当多体系融合之后有助于减少重复工作,在缩短审核时间的同时,减少审核成本。
管控要求统一。针对同一个产品或领域,不同体系会有不同的要求,例如信息安全标准和个人信息保护方面的标准可能对同一个功能有不同要求,如果单个标准独立实施,可能出现重复整改或者不一致的情况。而多体系融合之后,能够制定同时符合多个标准要求的方案,避免了重复整改的问题。
技术能力与管理经验双重输出
帮助企业客户通过等保大考
等保2.0围绕“一个中心,三重防护”的理念提出了很多更加严格的要求,腾讯作为云服务商,在自身云平台高分通过等保2.0的基础上,也希望将自己的技术能力和管理经验输出给云上客户,帮助客户通过即将到来的等保大考。
在技术能力层面,目前,腾讯公有云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台,这也是租户业务系统通过等级保护2.0测评的先决条件。具体到安全产品和服务,针对等保二级和三级的要求,腾讯安全拥有包含Web应用防火墙、DDoS高防、数据安全网关、数据库审计和数据加密等基础安全产品体系,能为政企客户提供基于 AI 的一站式 Web 业务运营风险防护、多种 DDoS 解决方案、结合AI的集中运维管理以及人工智能数据库安全审计系统等解决方案,并通过密钥管理的SDK和API等服务为云上客户极简地接入数据加密。
在管理经验的层面,腾讯提供了专业的专家咨询服务,在短期规划上,通过APP安全加固等在内的针对等保二级和三级要求的基础服务,能够协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议;在中长期的规划上,可以根据客户的动机进行差异分析,明确一个长期目标设计可以落地执行的规划,将腾讯内部总结的包含多体系融合在内的各种管理经验和方法论输出给客户,提升客户对等保和其它标准合规的安全能力建设。
此外,还有专门针对为云上客户提供系统化的网络安全等级保护合规建设和测评服务的渠道。让安全建设不再是企业的负担。