新闻资讯

安全合规那些事儿

2020-05-21    1283

1.什么是合规?


大伙有没有想过,你早上出门时老妈往你包里塞的一盒鲜奶,它从牧场到餐桌,要经过多少道工序和检测,才能放心地被大家饮用。在牧场时奶牛如何被喂养,啥时候挤奶,奶源采集后如何进行生产加工,质检怎么把关,这些就是合规的事。

当年部分奶粉品牌在合规检测的时候使用三聚氰胺骗过凯氏定氮这项检测,从而导致毒奶粉肆虐,这就是不合规导致的灾难性后果。


大型奶企检测试验一般会用到FTIR和FOSS乳成分分析仪,岛津液相,安捷伦气相,德国耶拿石墨炉,Soleris实时光电快速微生物检测系统,总而言之这是一堆牛逼的设备,通过这些设备来检测牛奶的各组分含量、药物残留、重金属残留、非法添加物、抗生素、微生物等。

当一桶鲜奶送到实验室后,检测人员会按照GB4789的规定,在无菌室的超净台迅速地对鲜奶进行检测。


上面提到的GB4789就是我们国家食品微生物的检验标准,我们在超市里陪老婆买回来的食品和饮料,都要通过该标准的检测,这是食品安全领域的合规。


同样在信息安全领域也有很多合规,有产品类、人员类和机构类的各类合规,通过合规之后获得相应的资质和证书,这就是认证。

2.信息安全领域有哪些认证?


先来说说产品类认证。


国际上的产品认证大家耳熟能详的基本还是围绕AV产品这块,别笑那么坏,这里的AV是指Anti-Virus反病毒产品,实际上安全产品类的认证覆盖范围很广,不能做的几乎很少。


说到国际上顶尖认证机构,最具盛名的当属美国的NSS Labs和英国West Coast Labs(西海岸实验室),NSS Labs的测试认证分为Recommended(推荐)、Neutral(中立)和Caution(警惕)三个等级,能获得推荐级别的产品基本上还是棒棒哒,至于中立级别的你爱用不用,警惕级别的劝你还是别用了。

而西海岸实验室的通过难度不算太高,但测试比较有特色。近几年业界有个共识,西海岸有些“高收费,高通过”的趋势,最近西海岸实验室在我兔也设了一个符合中国国情和具备中国特色的实验室,至于能力如何,我就不得而知了。


反病毒这块的测评认证机构算是最多的,像英国的VB100、奥地利的AV-Comparatives和德国的AV-Test都是比较权威的,业内人士应该都听说过,在此就不赘述。

国内安全产品认证首推中国信息安全测评中心,该机构依据CC国际通用准则(GB/T 18336:2015)来对安全产品进行分级评估。从90年代开始至今,CC应该算是产品测评认证领域的开山祖师爷了,虽是祖师爷,但也在与时俱进。

另外还有工信部的入网许可证、中国信息安全认证中心的信息安全产品认证、公安部销售许可证、国家保密局涉密证书、国家密码局密码检测证书和军网认证证书等等。这里边很多证书是市场准入门槛,一部分是控标所用,还有一部分确确实实能提升产品本身的安全功能和安全性。

至于人员类信息安全认证更是多如牛毛,安全行业毕竟不像金融业,不需要考啥从业资格证。关于考证这个事在圈内也算一个有趣的现象,不屑于考证的鄙视花钱买证的,拿国外认证的鄙视拿国内认证的。个人觉得应该因人而异,如果对职业生涯帮助较大,为什么不去拿?如果已经在行业内做到了顶尖水平,即便你以前是妇科圣手或者泌尿外科医生,在行业内一样受人尊敬,关于个人信息安全认证以后有机会再码一篇。


接下来聊聊机构类的信息安全认证,关于机构类认证大致分三类:

第一类是门槛准入类

小李公司年会抽奖中了一台福特野马,看着那拉轰的车身,小李口水流了一地,但是会后小李犯难了,自己还没有驾照,无证驾驶可是违法行为,心痒了半天只能打电话喊老爸开回家,驾照就是开车上路的准入门槛。


机构要从事信息安全类服务,就得具备相应的资质。


安全服务方面,国测和认证中心颁发了信息安全服务类资质,包括安全工程、风险评估、安全集成、应急处理和安全运维等几大类。一些个公司没有资质服务照做,结果发现提交的报告客户上级监管机构压根就不认,这些坑大家一定得避免,特别是一些金融机构信息系统评估服务。

等保测评方面,由各省推荐,公安部等保评估中心授权的测评机构才能从事等级保护测评工作,等级保护的核心标准是GB/T 22239,等级保护是一项基本国策,定级为三级和三级以上系统必须每年进行一次测评,当然三级系统有大有小,小的可能就是一个城市的政府门户网站,大的可能是拥有海量计算资源和网络节点的阿里云。同样是三级,负责给阿里云做三级等保测评的机构投入的工作量可能是前者的好多倍。

第二类是机构普适类

顾名思义,这类认证可以适用于大多数企业和机构,而且这类认证大多数是国际认证,我这里分别介绍安全类认证ISO/IEC 27001-2013和IT服务类认证ISO/IEC 20000:1-2011。

ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证,算是安全管理体系认证的开山之作,一直到今天仍是各大企业信息安全认证的首选。如果今天有人咨询我想通过认证来提升企业信息安全能力,我的回答肯定是27001。

ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。通过ISO27001的实施,为企业建立和执行各类安全管理措施和流程。形象一点描述,自从上了ISO27001,员工安全意识强了,安全工作更规范了,安全问题更少了,企业变得更安全了。


ISO20000是目前最权威的认证企业IT运营和IT服务提供能力的国际标准,它的目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用。一言以蔽之,就是告诉你一套方法,教你采用什么流程满足客户和业务的需要。

让类似某订票网发生过的员工误操作不再发生,让各类投诉处理得更快,让企业内部安全漏洞修补的效率更高,让混乱不再存在,让救火队卸甲归田,这就是ISO20000的职责所在。


如果把企业比作一辆汽车,ISO27001就是保证汽车更安全,ISO20000就是保证汽车跑得更快而且问题更少,这就是合规的力量。阿里云在保持业务高速发展的同时,还能保证服务的安全交付,ISO27001功不可没。如何确保云计算业务在跑得稳的同时,还能更快更高效,这也是最近阿里云一举通过ISO20000认证的原因所在。

第三类是行业增强类


这类认证是针对特定行业的安全认证,像支付卡行业的国际安全认证PCI-DSS标准,国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性,比如支付宝。


而有关云安全的认证也是越来越受到关注和重视,云安全认证首推CSA STAR认证


该认证包含三块内容:第一块是与AICPA联合的CSA STAR Attestation,该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵,用来指导SOC 2的执行;第二块是CSA STAR Certification,由CSA指定第三方认证机构基于ISO27001+CSA云控制矩阵来进行评估,算是最正宗的CSA云安全认证;第三块是针对我大天朝的CSA C-STAR评估,基于GB/T 22080-2008+等级保护基本要求+GB/Z 28828-2012以及CSA的云控制矩阵。

国内有一家公司获得了全球第一张云安全国际认证金牌(CSA-STAR),大伙觉得是谁,不用猜,还是阿里云。


关于云计算安全评估还有两个ISO27000系列的标准可以进行认证,分别是:


《ISO27017:2015 基于27002的云计算服务的信息安全控制措施实用规则》

《ISO27018:2014 公共云计算服务的数据保护控制措施实用规则》


ISO27017:2015针对云服务的信息安全控制提供了实施指导。ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。基于ISO27002,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。


国内也发布了两个云计算服务的相关标准,《GB/T 31167-2014 信息安全技术 云计算服务安全指南》和《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》,至于谁来执行,暂时没看到更多信息。


3.为什么要强调合规?


合规不能保证绝对安全,但合规是安全的基础,也是当前提升企业安全保障能力的重要途径,这也是越来越多的企业青睐认证的缘由。


大家应该清楚合规和安全的关系,开车上路就必须得持有驾照,必须得系安全带,这就是交通领域的合规,但是你即使完全合规,也不能100%保证不发生安全事故。合规的意义是什么,让你掌握驾驶技能、交通法规和安全驾驶技巧。能够像安全带一样,在发生交通事故时把伤害降低到最低,合规是安全的基石,做与不做差别很大。


再回到信息安全领域,甲方会遇到很多的合规需求,像等级保护、pci dss、iso27001等等,但一部分人对合规的认知有所偏差,认为满足合规就安全了,其实还远远不够,合规是让你的信息安全保障能力达到一个基本60分、70分、80分的水平,但是70分和80分不是安全建设的目标和终点。

最后再讲一句,金杯银杯不如客户的口碑,把合规带来的能力变成附加值,反馈客户,普惠大众,这才是合规的价值

在线咨询