6月29日,来自云栖大会成都峰会的官方消息显示,阿里云已正式通过美国注册会计师协会(AICPA) 与云安全联盟(CSA)制定的SOC2审计标准。该报告由国际审计师事务所安永出具,数据安全性为其审计重点。
SOC(ServiceOrganization Controls)审计是美国注册会计师协会,针对外包服务组织的系统和内部控制情况进行严格审计后出具的报告,可以充分证明企业内部控制设计合理性和执行有效性。此次针对阿里云的审计涉及SOC2和CCM两类。其中,SOC2审计的是一家企业安全性、可用性、过程完整性、保密性或隐私性相关的服务控制。CCM是国际上云计算行业通用的信息安全风险黄金标准。它定义了和云安全相关的通用安全控制要求及控制框架。
据悉,此次第三方机构针对阿里云的数据安全审计过程,涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共217项,对每一项进行逐一验证。这也是中国的云计算服务提供商,首次通过这一严苛审计。
阿里云安全事业部资深总监肖力表示:“阿里云已经建立了严密的数据安全管控体系,能帮助客户保障其数据的私密性、完整性和可用性。我们针对数据安全管控体系的设计是领先的,我们有自信可以通过第三方的审查。”
2015年7月,阿里云在其发起的“数据保护倡议”中表明:“数据是客户资产,云计算平台不得移作它用。云计算平台有责任和义务建立严密的管控体系和内部审计制度,更应不懈地提高安全防护、容灾备份等方面的能力,帮助客户保障其数据的私密性、完整性和可用性。”作为数据保护倡议的发起者,阿里云一直用实践履行倡议中的责任,积极配合第三方对阿里云开展数据安全审计。
此前,阿里云在安全方面,已获得云安全国际认证金牌(CSA-STAR)、ISO20000认证、ISO 27001 和ISO 22301认证,一直在安全认证领域保持领先地位。(记者彭科峰)