在6月29日成都云棲大會(huì)上，阿里云資深總監(jiān)肖力介紹，阿里云通過了由全球頂級(jí)審計(jì)師事務(wù)所安永執(zhí)行的第三方數(shù)據(jù)安全審計(jì)，結(jié)合阿里云在會(huì)議上發(fā)布的《阿里云數(shù)據(jù)安全白皮書》，至此，阿里云數(shù)據(jù)安全管控體系算是正式出現(xiàn)在公眾視野。

作為國際權(quán)威的審計(jì)師事務(wù)所，安永在全球范圍實(shí)施多個(gè)CSP的安全審計(jì)項(xiàng)目，而本次安永針對(duì)阿里云的第三方審計(jì)，是基于美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)和云安全聯(lián)盟(CSA)制定的SOC2審計(jì)標(biāo)準(zhǔn)，該審計(jì)標(biāo)準(zhǔn)憑其全面性和嚴(yán)苛性而備受矚目。

沒有記錯(cuò)的話，這應(yīng)該是國內(nèi)第一家通過安永第三方數(shù)據(jù)安全審計(jì)的云計(jì)算服務(wù)提供商，據(jù)肖力介紹，這次由安永執(zhí)行的第三方審計(jì)重點(diǎn)就是數(shù)據(jù)安全性，結(jié)合阿里云在2015年7月發(fā)起的“數(shù)據(jù)安全保護(hù)倡議”，在結(jié)合《阿里云數(shù)據(jù)安全白皮書》提出的保障框架，不難看出阿里云保護(hù)用戶數(shù)據(jù)的強(qiáng)烈使命感，以及在數(shù)據(jù)安全保障方面所做出的努力和成績。

可能很多人會(huì)好奇，阿里云已經(jīng)獲得了云安全國際認(rèn)證金牌(CSA-STAR)、ISO20000認(rèn)證、ISO27001和ISO22301認(rèn)證等一系列國際頂尖的安全認(rèn)證，為什么還要去嘗試高難度的第三方數(shù)據(jù)安全審計(jì)?筆者在這里給大家談?wù)勛约旱目捶ā?/p>

第一，過招老司機(jī)，體現(xiàn)大廠擔(dān)當(dāng)

如果把認(rèn)證比做門臉的話，審計(jì)卻是修煉內(nèi)功的重要途徑。頭上頂著一圈圈的國際認(rèn)證光環(huán)無疑為阿里云增添了不少的魅力，也增強(qiáng)了阿里云的安全能力，但是把自家的數(shù)據(jù)數(shù)據(jù)管控體系交由第三方進(jìn)行嚴(yán)苛和全面的審計(jì)，換做其它機(jī)構(gòu)，可能不是特別愿意。

安永作為審計(jì)師事務(wù)所的頂尖代表和資深老司機(jī)，在數(shù)據(jù)安全審計(jì)領(lǐng)域有著機(jī)構(gòu)無法匹敵的經(jīng)驗(yàn)和資歷，阿里云能夠請(qǐng)來安永進(jìn)行審計(jì)，可見誠意十足，而且內(nèi)部驅(qū)動(dòng)力不容小覷，是騾子是馬，遛遛就知道了。

與阿里云之前通過的各類認(rèn)證聚焦在信息安全管理體系不同，安永關(guān)注的是阿里云服務(wù)相關(guān)風(fēng)險(xiǎn)的內(nèi)控，一方面會(huì)審計(jì)阿里云信息安全管理體系背后的運(yùn)作流程，另一方面也會(huì)覆蓋阿里云內(nèi)部產(chǎn)品、研發(fā)和對(duì)外服務(wù)等跟風(fēng)險(xiǎn)相關(guān)的日常流程機(jī)制。

簡而言之，第三方審計(jì)是對(duì)安全認(rèn)證的互補(bǔ)增強(qiáng)，在安全威脅日益復(fù)雜的今天，通過安永審計(jì)的200余項(xiàng)檢查驗(yàn)證能夠幫助提升阿里云自身的內(nèi)控能力和流程的標(biāo)準(zhǔn)化能力，使得阿里云能夠更加從容地保護(hù)云上客戶的業(yè)務(wù)和數(shù)據(jù)安全。

第二，煉成學(xué)霸，發(fā)力海外市場(chǎng)

筆者曾經(jīng)提過，對(duì)CSP而言，云安全就是一次大考，而數(shù)據(jù)安全無疑是試卷里的壓軸大題，是學(xué)霸還是學(xué)渣，數(shù)據(jù)安全就是很重要的試金石，不論哪家CSP，要想脫穎而出名題金榜，就必須得啃下數(shù)據(jù)安全這道難題。

安永數(shù)據(jù)安全審計(jì)作為一項(xiàng)嚴(yán)苛的內(nèi)控審計(jì)已經(jīng)被眾多的機(jī)構(gòu)和企業(yè)所認(rèn)可，在國際上擁有很高的權(quán)威性，同時(shí)本次實(shí)施的審計(jì)條款是AICPA和CSA組織多年實(shí)踐積累下來的最佳實(shí)踐，是機(jī)構(gòu)提升自我風(fēng)險(xiǎn)控制能力的一個(gè)重要途徑。

阿里云通過審計(jì)補(bǔ)充和完善了內(nèi)部數(shù)據(jù)安全管控的機(jī)制和流程，經(jīng)過安永的審計(jì)建議，阿里云的數(shù)據(jù)安全管控能力也得到了極大提升。

同時(shí)筆者也知道，阿里云在坐穩(wěn)國內(nèi)云計(jì)算市場(chǎng)第一交椅的同時(shí)，仍然不遺余力地修煉內(nèi)功，去通過海外的權(quán)威審計(jì)，不難猜測(cè)阿里云會(huì)繼續(xù)發(fā)力拓展海外市場(chǎng)，而這次通過安永的數(shù)據(jù)安全審計(jì)就是要告訴海外用戶，阿里云的安全保障能力已經(jīng)達(dá)到足夠高的水準(zhǔn)，是用戶值得信任的CSP。

第三，聚焦數(shù)據(jù)安全，交付核心價(jià)值

據(jù)數(shù)據(jù)調(diào)查顯示，90%以上的用戶在評(píng)估云計(jì)算服務(wù)時(shí)，首要看重其對(duì)公司商譽(yù)及業(yè)務(wù)開展的影響，重點(diǎn)關(guān)注CSP的內(nèi)部控制力和防黑能力，行業(yè)客戶非常關(guān)心安全性，尤其是數(shù)據(jù)安全與合規(guī)。

所有的CSP都把安全視為一種能力，阿里云也不例外，但安全該怎么來交付，才能讓其易于接受，才能獲取客戶的持續(xù)信任，從而更好地改善云上環(huán)境，通過第三方審計(jì)就是重要途徑。

安全需要審計(jì)，CSP可以告訴客戶是否安全，并為其提供有效的證據(jù)說明。阿里云不能自說自話自吹自擂，一方面它需要審計(jì)云平臺(tái)的安全性，另一方面，它需要第三方機(jī)構(gòu)來審計(jì)它的安全體系是否得當(dāng)，并以此作為良性循環(huán)不斷優(yōu)化自身，這也是邀請(qǐng)安永進(jìn)行審計(jì)的初衷。

據(jù)筆者了解，阿里云會(huì)將第三方審計(jì)作為一項(xiàng)持續(xù)性工作，并借此來不斷驗(yàn)證和評(píng)估其數(shù)據(jù)安全管控體系的合理性和強(qiáng)健性，而這項(xiàng)工作實(shí)施包括定期審計(jì)和飛行抽檢兩種方式。

當(dāng)阿里云DBA大偉下班回家吃著火鍋唱著歌的時(shí)候，可能他當(dāng)月的操作記錄臨時(shí)被安永審計(jì)師要求進(jìn)行突擊審計(jì)。又或者阿里云新加坡某數(shù)據(jù)中心被神秘人物拜訪，拜訪人員通過飛行抽檢的方式要求查看磁盤消磁記錄。當(dāng)?shù)谌綄徲?jì)變成常態(tài)化的時(shí)候，你可以預(yù)料到阿里云數(shù)據(jù)安全管控體系的自我優(yōu)化能力會(huì)達(dá)成一個(gè)新高，而最終受益的就是云上數(shù)百萬用戶。

正所謂烽火連三月，數(shù)據(jù)勝萬金。阿里云在安全方面持續(xù)不斷地努力，無疑在向用戶和市場(chǎng)釋放一個(gè)強(qiáng)烈的信號(hào)，消除少數(shù)用戶的疑慮，吸引更多的用戶上云，阿里云可以讓云上的環(huán)境更加美好。

文末套用一句話，優(yōu)秀的CSP不可怕，可怕的是比你優(yōu)秀的CSP比你更努力。