7月21日,华为云在2022可信云大会展示了整体云安全能力,并分享了在安全治理方面的实践经验与成果,同时正式发布更具落地性的3CS 2.0云安全治理框架,帮助云服务提供商、云客户、云生态伙伴更好地实践云安全治理,快速提升安全治理能力。
去年,华为云发布了《云安全治理白皮书》,正式推出3CS 1.0,即云服务网络安全与合规标准(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD,简称“3CS”)。3CS框架参考多套主流安全管理标准,博采所长,融入华为三十年安全管理经验和技术积累,与云服务各业务流程紧密结合,可审核、可追溯、可度量,实现全面有效的安全治理。在3CS 1.0推出后,服务受到了不同行业企业和云客户的积极反响和认可。
如今,云计算、物联网、区块链、量子计算等新技术的流行和应用,云用户使用多供应商的需求突出,使得云生态更加复杂多样,加上云安全威胁动态变化无常,给云服务供应商、云用户、生态伙伴的安全治理与合规带来更大的挑战。在此背景下,为了更好地落地实施高标准的云安全治理,华为云在3CS1.0的基础上对云安全治理进行了升级,推出了3CS 2.0 云安全治理框架。
3CS 2.0框架具备以下核心亮点:
1.覆盖更广范围,适用更多行业场景
华为云在3CS1.0的基础上拓展了框架对标准的覆盖范围,如增加对安全开发软件程序和框架的标准、个人健康信息保护安全标准和数据安全等国际标准的覆盖,形成了更加丰富、应对动态变化、良好适用于不同行业的云安全治理框架。
2.优化数据安全和隐私保护领域控制细粒度,灵活应对趋势变化
各国对数据、隐私保护愈发重视,3CS 2.0将数据安全和隐私保护优化为一级控制域,并对控制要求进行扩充和细化,使云安全治理框架更好应对趋势变化和更具实践性。
3.5大关键手段高效推动安全治理落地
3CS 2.0对原框架进行了优化,全面总结了5大关键手段,从政策、流程、责任体系、IT/工具、度量五个方面保障安全治理体系的落地,推动各领域落实安全管控机制,形成了可持续运行、更具落地性的云安全治理框架。
在数据安全和隐私保护领域,数据安全已成为云用户和行业内日益重视的关注点,也是安全治理的核心控制域之一。华为云通过5大关键手段实施控制措施,保护数据安全,实现平台数据安全可靠、客户数据自主可控、数据处理透明可视,将数据安全服务打造成华为云的核心竞争力之一。
企业落地3CS 2.0三大关键步骤
1.进行框架适配
企业可从自身所处公司整体的战略目标、业务发展需要、行业特性入手,结合客户期望,识别公司需满足的安全治理需求。依据适用的安全要求,对3CS框架的领域进行选择、调整适配,形成公司自己的安全治理体系框架。进一步依据适配的领域,对控制要求逐步分解细化,建立公司业务所需的、定制化的安全治理控制要求库。
2.落地五大关键手段
公司通过优化制度、完善组织、将安全治理要求融入业务流程、利用技术工具和建立度量指标五大方面推动安全治理管控落地。
3.进行治理成效验证和持续改进
企业通过业务自检、内部稽核、指标度量和成熟度评估的方式对安全治理工作效果进行验证,并持续改进。
云服务客户可参考3CS落地方法提升自身的云安全管理能力,同时也可借助华为云提供的20+安全服务、300+伙伴安全服务,保护云上数据资产、构建立体的云安全防护能力。目前“3CS 2.0”已在华为云内部成功落地实施并取得优秀成果。依据“3CS 2.0”的控制要求,华为云在各部门进行了安全控制的强化,各部门及产品线的安全能力都得到进一步的提升。
在强化安全能力的同时,华为云已通过多个国家机构及国际权威机构的审计及评估,确保华为云的安全能力是可验证和可信赖的。目前,华为云已累计获得110+安全合规认证,并发布40+安全遵从性白皮书,满足全球客户业务合规和可适用的隐私保护要求,为客户云上业务安全保驾护航。