云计算安全资格认证到底哪家最强?

靠谱企业邮件 2018-04-17 200 信息安全 信息安全管理体系 信息安全标准
其他回答

靠谱邮件获得ISO27001信息安全管理体系认证,产品及服务信息安全再升级

近日,靠谱邮件(企业邮件云安全服务商)经广州赛宝认证中心审核,获得 ISO27001信息安全管理体系标准认证,这也标志着靠谱邮件信息安全管理水平进一步提升。

据了解,ISO27001是信息安全管理方面最重要的国际标准之一,对企业建立、实施、保持和持续改进信息安全管理体系提出了全面标准,要求企业必须构筑高规格的信息安全体系,确保企业及用户的信息安全。


目前,ISO27001信息安全管理体系标准被很多世界知名企业或组织所采用。该标准要求企业必须构建高标准的信息安全体系,确保能够保障企业以及客户的信息安全。


此次认证证书的顺利获得,不仅是靠谱邮件在信息安全体系建设方面取得的可喜成绩,也是公司多年来高度重视客户及自身信息资产保密性、完整性和可用性的必然成果,经过此次对信息安全工作的系统全面梳理,靠谱邮件安全运行水平及系统风险处置能力达到新的高度,为用户打造更安全、更可靠的邮件安全服务。



小贴士

ISO27001认证,由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新修改了该标准。


ISO27001建立了信息安全管理体系(ISMS)的一套规范,详细规范了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。


ISO27001提供了对信息安全管理系统的相关要求,从而使企业能够评估风险,并实施恰当的控制措施以确保信息资产的保密性、完整性和可用性。

靠谱®邮件系统解决方案采用最简单和最经济的邮件云安全服务

(Email Cloud Security Service,又称SaaS服务)帮助自建邮件系统的企业解决邮件收发问题,保障邮件系统的安全,提升邮件系统的价值。靠谱®邮件系统解决方案包括:IP黑名单免费监测服务、邮件中继外发服务、反垃圾邮件云网关、海外邮件入站加速服务、备用邮件服务器等。

在邮件云安全解决方案行业内,靠谱邮件不仅是国内第一家成功开拓者,并已经成为国内的领先者。服务的企业包括ofo小黄车、星巴克、蒙牛、雅士利、今麦郎、链家、复星集团、康贝恩、吉利汽车、361°、安踏、奥康、志高空调、蓝色光标、浪潮、广联达、正泰等3000多家,其中上市企业超过300家。


靠谱邮件在企业信息安全拥有良好口碑,不仅依靠强大的售后技术团队,还有不断突破创新的邮件技术,为更多的企业提供安全、稳定的邮件服务是我们的核心追求。


本答案来自:靠谱邮件云安全 提供全方位邮件安全解决方案 海外邮件,中继转发服务,邮件延迟,垃圾邮件,邮件中继,邮件网关

靠谱企业邮件 2018-04-17 17:43:14 0条评论
关于云计算安全,国际和国内都有相关的合规认证,笔者码过一篇文章,分享给大家一起看看。

标题:安全合规那些事儿

1.什么是合规?


大伙有没有想过,你早上出门时老妈往你包里塞的一盒鲜奶,它从牧场到餐桌,要经过多少道工序和检测,才能放心地被大家饮用。在牧场时奶牛如何被喂养,啥时候挤奶,奶源采集后如何进行生产加工,质检怎么把关,这些就是合规的事。

当年部分奶粉品牌在合规检测的时候使用三聚氰胺骗过凯氏定氮这项检测,从而导致毒奶粉肆虐,这就是不合规导致的灾难性后果。


大型奶企检测试验一般会用到FTIR和FOSS乳成分分析仪,岛津液相,安捷伦气相,德国耶拿石墨炉,Soleris实时光电快速微生物检测系统,总而言之这是一堆牛逼的设备,通过这些设备来检测牛奶的各组分含量、药物残留、重金属残留、非法添加物、抗生素、微生物等。


当一桶鲜奶送到实验室后,检测人员会按照GB4789的规定,在无菌室的超净台迅速地对鲜奶进行检测。


上面提到的GB4789就是我们国家食品微生物的检验标准,我们在超市里陪老婆买回来的食品和饮料,都要通过该标准的检测,这是食品安全领域的合规。


同样在信息安全领域也有很多合规,有产品类、人员类和机构类的各类合规,通过合规之后获得相应的资质和证书,这就是认证。


2.信息安全领域有哪些认证?


先来说说产品类认证。


国际上的产品认证大家耳熟能详的基本还是围绕AV产品这块,别笑那么坏,这里的AV是指Anti-Virus反病毒产品,实际上安全产品类的认证覆盖范围很广,不能做的几乎很少。


说到国际上顶尖认证机构,最具盛名的当属美国的NSS Labs和英国West Coast Labs(西海岸实验室),NSS Labs的测试认证分为Recommended(推荐)、Neutral(中立)和Caution(警惕)三个等级,能获得推荐级别的产品基本上还是棒棒哒,至于中立级别的你爱用不用,警惕级别的劝你还是别用了。


而西海岸实验室的通过难度不算太高,但测试比较有特色。近几年业界有个共识,西海岸有些“高收费,高通过”的趋势,最近西海岸实验室在我兔也设了一个符合中国国情和具备中国特色的实验室,至于能力如何,我就不得而知了。


反病毒这块的测评认证机构算是最多的,像英国的VB100、奥地利的AV-Comparatives和德国的AV-Test都是比较权威的,业内人士应该都听说过,在此就不赘述。


国内安全产品认证首推中国信息安全测评中心,该机构依据CC国际通用准则(GB/T 18336:2015)来对安全产品进行分级评估。从90年代开始至今,CC应该算是产品测评认证领域的开山祖师爷了,虽是祖师爷,但也在与时俱进。


另外还有工信部的入网许可证、中国信息安全认证中心的信息安全产品认证、公安部销售许可证、国家保密局涉密证书、国家密码局密码检测证书和军网认证证书等等。这里边很多证书是市场准入门槛,一部分是控标所用,还有一部分确确实实能提升产品本身的安全功能和安全性。


至于人员类信息安全认证更是多如牛毛,安全行业毕竟不像金融业,不需要考啥从业资格证。关于考证这个事在圈内也算一个有趣的现象,不屑于考证的鄙视花钱买证的,拿国外认证的鄙视拿国内认证的。个人觉得应该因人而异,如果对职业生涯帮助较大,为什么不去拿?如果已经在行业内做到了顶尖水平,即便你以前是妇科圣手或者泌尿外科医生,在行业内一样受人尊敬,关于个人信息安全认证以后有机会再码一篇。


接下来聊聊机构类的信息安全认证,关于机构类认证大致分三类


第一类是门槛准入类


小李公司年会抽奖中了一台福特野马,看着那拉轰的车身,小李口水流了一地,但是会后小李犯难了,自己还没有驾照,无证驾驶可是违法行为,心痒了半天只能打电话喊老爸开回家,驾照就是开车上路的准入门槛。


机构要从事信息安全类服务,就得具备相应的资质。


安全服务方面,国测和认证中心颁发了信息安全服务类资质,包括安全工程、风险评估、安全集成、应急处理和安全运维等几大类。一些个公司没有资质服务照做,结果发现提交的报告客户上级监管机构压根就不认,这些坑大家一定得避免,特别是一些金融机构信息系统评估服务。


等保测评方面,由各省推荐,公安部等保评估中心授权的测评机构才能从事等级保护测评工作,等级保护的核心标准是GB/T 22239,等级保护是一项基本国策,定级为三级和三级以上系统必须每年进行一次测评,当然三级系统有大有小,小的可能就是一个城市的政府门户网站,大的可能是拥有海量计算资源和网络节点的阿里云。同样是三级,负责给阿里云做三级等保测评的机构投入的工作量可能是前者的好多倍。


第二类是机构普适类


顾名思义,这类认证可以适用于大多数企业和机构,而且这类认证大多数是国际认证,我这里分别介绍安全类认证ISO/IEC 27001-2013和IT服务类认证ISO/IEC 20000:1-2011。


ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证,算是安全管理体系认证的开山之作,一直到今天仍是各大企业信息安全认证的首选。如果今天有人咨询我想通过认证来提升企业信息安全能力,我的回答肯定是27001。


ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。通过ISO27001的实施,为企业建立和执行各类安全管理措施和流程。形象一点描述,自从上了ISO27001,员工安全意识强了,安全工作更规范了,安全问题更少了,企业变得更安全了。


ISO20000是目前最权威的认证企业IT运营和IT服务提供能力的国际标准,它的目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用。一言以蔽之,就是告诉你一套方法,教你采用什么流程满足客户和业务的需要

让类似某订票网发生过的员工误操作不再发生,让各类投诉处理得更快,让企业内部安全漏洞修补的效率更高,让混乱不再存在,让救火队卸甲归田,这就是ISO20000的职责所在。


如果把企业比作一辆汽车,ISO27001就是保证汽车更安全,ISO20000就是保证汽车跑得更快而且问题更少,这就是合规的力量。阿里云在保持业务高速发展的同时,还能保证服务的安全交付,ISO27001功不可没。如何确保云计算业务在跑得稳的同时,还能更快更高效,这也是最近阿里云一举通过ISO20000认证的原因所在。


第三类是行业增强类


这类认证是针对特定行业的安全认证,像支付卡行业的国际安全认证PCI-DSS标准,国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性,比如支付宝。


而有关云安全的认证也是越来越受到关注和重视,云安全认证首推CSA STAR认证


该认证包含三块内容:第一块是与AICPA联合的CSA STAR Attestation,该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵,用来指导SOC 2的执行;第二块是CSA STAR Certification,由CSA指定第三方认证机构基于ISO27001+CSA云控制矩阵来进行评估,算是最正宗的CSA云安全认证;第三块是针对我大天朝的CSA C-STAR评估,基于GB/T 22080-2008+等级保护基本要求+GB/Z 28828-2012以及CSA的云控制矩阵。


国内有一家公司获得了全球第一张云安全国际认证金牌(CSA-STAR),大伙觉得是谁,不用猜,还是阿里云。


关于云计算安全评估还有两个ISO27000系列的标准可以进行认证,分别是:


《ISO27017:2015 基于27002的云计算服务的信息安全控制措施实用规则》

《ISO27018:2014 公共云计算服务的数据保护控制措施实用规则》


ISO27017:2015针对云服务的信息安全控制提供了实施指导。ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。基于ISO27002,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。


国内也发布了两个云计算服务的相关标准,《GB/T 31167-2014 信息安全技术 云计算服务安全指南》和《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》,至于谁来执行,暂时没看到更多信息。


3.为什么要强调合规?


合规不能保证绝对安全,但合规是安全的基础,也是当前提升企业安全保障能力的重要途径,这也是越来越多的企业青睐认证的缘由


大家应该清楚合规和安全的关系,开车上路就必须得持有驾照,必须得系安全带,这就是交通领域的合规,但是你即使完全合规,也不能100%保证不发生安全事故。合规的意义是什么,让你掌握驾驶技能、交通法规和安全驾驶技巧。能够像安全带一样,在发生交通事故时把伤害降低到最低,合规是安全的基石,做与不做差别很大。


再回到信息安全领域,甲方会遇到很多的合规需求,像等级保护、pci dss、iso27001等等,但一部分人对合规的认知有所偏差,认为满足合规就安全了,其实还远远不够,合规是让你的信息安全保障能力达到一个基本60分、70分、80分的水平,但是70分和80分不是安全建设的目标和终点。


最后再讲一句,金杯银杯不如客户的口碑,把合规带来的能力变成附加值,反馈客户,普惠大众,这才是合规的价值

孙维 2018-04-17 17:43:14 0条评论
相关问答