在6月29日成都云棲大會上，阿里云資深總監肖力介紹，阿里云通過了由全球頂級審計師事務所安永執行的第三方數據安全審計，結合阿里云在會議上發布的《阿里云數據安全白皮書》，至此，阿里云數據安全管控體系算是正式出現在公眾視野。

作為國際權威的審計師事務所，安永在全球范圍實施多個CSP的安全審計項目，而本次安永針對阿里云的第三方審計，是基于美國注冊會計師協會(AICPA)和云安全聯盟(CSA)制定的SOC2審計標準，該審計標準憑其全面性和嚴苛性而備受矚目。

沒有記錯的話，這應該是國內第一家通過安永第三方數據安全審計的云計算服務提供商，據肖力介紹，這次由安永執行的第三方審計重點就是數據安全性，結合阿里云在2015年7月發起的“數據安全保護倡議”，在結合《阿里云數據安全白皮書》提出的保障框架，不難看出阿里云保護用戶數據的強烈使命感，以及在數據安全保障方面所做出的努力和成績。

可能很多人會好奇，阿里云已經獲得了云安全國際認證金牌(CSA-STAR)、ISO20000認證、ISO27001和ISO22301認證等一系列國際頂尖的安全認證，為什么還要去嘗試高難度的第三方數據安全審計?筆者在這里給大家談談自己的看法。

第一，過招老司機，體現大廠擔當

如果把認證比做門臉的話，審計卻是修煉內功的重要途徑。頭上頂著一圈圈的國際認證光環無疑為阿里云增添了不少的魅力，也增強了阿里云的安全能力，但是把自家的數據數據管控體系交由第三方進行嚴苛和全面的審計，換做其它機構，可能不是特別愿意。

安永作為審計師事務所的頂尖代表和資深老司機，在數據安全審計領域有著機構無法匹敵的經驗和資歷，阿里云能夠請來安永進行審計，可見誠意十足，而且內部驅動力不容小覷，是騾子是馬，遛遛就知道了。

與阿里云之前通過的各類認證聚焦在信息安全管理體系不同，安永關注的是阿里云服務相關風險的內控，一方面會審計阿里云信息安全管理體系背后的運作流程，另一方面也會覆蓋阿里云內部產品、研發和對外服務等跟風險相關的日常流程機制。

簡而言之，第三方審計是對安全認證的互補增強，在安全威脅日益復雜的今天，通過安永審計的200余項檢查驗證能夠幫助提升阿里云自身的內控能力和流程的標準化能力，使得阿里云能夠更加從容地保護云上客戶的業務和數據安全。

第二，煉成學霸，發力海外市場

筆者曾經提過，對CSP而言，云安全就是一次大考，而數據安全無疑是試卷里的壓軸大題，是學霸還是學渣，數據安全就是很重要的試金石，不論哪家CSP，要想脫穎而出名題金榜，就必須得啃下數據安全這道難題。

安永數據安全審計作為一項嚴苛的內控審計已經被眾多的機構和企業所認可，在國際上擁有很高的權威性，同時本次實施的審計條款是AICPA和CSA組織多年實踐積累下來的最佳實踐，是機構提升自我風險控制能力的一個重要途徑。

阿里云通過審計補充和完善了內部數據安全管控的機制和流程，經過安永的審計建議，阿里云的數據安全管控能力也得到了極大提升。

同時筆者也知道，阿里云在坐穩國內云計算市場第一交椅的同時，仍然不遺余力地修煉內功，去通過海外的權威審計，不難猜測阿里云會繼續發力拓展海外市場，而這次通過安永的數據安全審計就是要告訴海外用戶，阿里云的安全保障能力已經達到足夠高的水準，是用戶值得信任的CSP。

第三，聚焦數據安全，交付核心價值

據數據調查顯示，90%以上的用戶在評估云計算服務時，首要看重其對公司商譽及業務開展的影響，重點關注CSP的內部控制力和防黑能力，行業客戶非常關心安全性，尤其是數據安全與合規。

所有的CSP都把安全視為一種能力，阿里云也不例外，但安全該怎么來交付，才能讓其易于接受，才能獲取客戶的持續信任，從而更好地改善云上環境，通過第三方審計就是重要途徑。

安全需要審計，CSP可以告訴客戶是否安全，并為其提供有效的證據說明。阿里云不能自說自話自吹自擂，一方面它需要審計云平臺的安全性，另一方面，它需要第三方機構來審計它的安全體系是否得當，并以此作為良性循環不斷優化自身，這也是邀請安永進行審計的初衷。

據筆者了解，阿里云會將第三方審計作為一項持續性工作，并借此來不斷驗證和評估其數據安全管控體系的合理性和強健性，而這項工作實施包括定期審計和飛行抽檢兩種方式。

當阿里云DBA大偉下班回家吃著火鍋唱著歌的時候，可能他當月的操作記錄臨時被安永審計師要求進行突擊審計。又或者阿里云新加坡某數據中心被神秘人物拜訪，拜訪人員通過飛行抽檢的方式要求查看磁盤消磁記錄。當第三方審計變成常態化的時候，你可以預料到阿里云數據安全管控體系的自我優化能力會達成一個新高，而最終受益的就是云上數百萬用戶。

正所謂烽火連三月，數據勝萬金。阿里云在安全方面持續不斷地努力，無疑在向用戶和市場釋放一個強烈的信號，消除少數用戶的疑慮，吸引更多的用戶上云，阿里云可以讓云上的環境更加美好。

文末套用一句話，優秀的CSP不可怕，可怕的是比你優秀的CSP比你更努力。