近日，阿里云計算有限公司通過了由BSI(英國標準協會)審核的ISO27001：2005(信息安全管理體系)認證，成為BSI在國內審核通過ISO27001的第一家云計算安全服務提供商。

ISO27001是一項信息安全管理國際標準，該標準由英國標準協會(BSI)于1995年2月提出并陸續完善，是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全標準。

阿里云計算業務總經理陳金培接受BSI高博士頒證

通過ISO27001檢驗阿里云信息安全水平

用戶使用云計算最大的障礙之一是對于安全的擔憂，作為面向公眾提供云計算服務的公司，阿里云不斷從管理和技術等方面，提升信息安全水平，提升客戶對云計算的信任，讓客戶能放心的把數據和應用部署在阿里云的云計算平臺上。

阿里云已經具備了良好的信息安全管理基礎，建立了一套以自動化安全體系為主，輔以管理手段的互聯網安全與內控體系，達到國內的領先水平。阿里云的所有信息系統通過國家信息系統等級化保護測評，作為工信部云計算安全試點的企業，阿里云形成了滿足國家、國際云計算安全控制要求，可持續的云計算安全評估方法，誕生了覆蓋傳統信息安全和云計算安全管控的“阿里云安全模型”。阿里云還成為了CSA(Cloud Security Alliance，云安全聯盟)和BSI聯合推出的面向云服務提供商的安全開放框架在中國大陸地區的第一家試點機構。

ISO27001是基于信息資產信息安全風險管理為核心的體系，讓企業的信息安全管理水平經歷嚴格的審核，從信息安全體系的核心和管控思想兩個方面，都能檢驗阿里云作為云計算服務提供商提供給客戶的安全承諾。面對個人信息泄露、個人隱私保護及云計算帶來的相關法律和合規要求，ISO27001對于隱私保護和法律方面的合規管理也提供了規范。

本次認證的通過,標志著阿里云的信息安全管理水平與國際先進水平完全接軌，而通過ISO27001認證，持續提升客戶的信任度，也成為阿里云的必經之路。

傳統規范使云計算信息安全再上高峰

云計算是一個新興行業，業界缺乏對于云計算安全管理的相關標準與最佳實踐，云計算安全目前仍然缺乏一個國際標準。但即使在云計算的背景下，云計算安全與傳統信息安全的安全目標仍是相同的：保護信息資產的保密性、完整性、可用性。諸如信息安全風險管理;人力資源、物理、網絡和主機安全;業務連續性;數據中心運維等方面，阿里云將滿足ISO27001:2005作為基線要求。

由于ISO27001 是為成熟商業模式設立的安全標準，對云計算與新興互聯網企業在技術和管理方面的需求提出了一些挑戰，比如在云計算巨大的網絡帶寬環境下，傳統的防火墻已經在性能上無法支撐云計算海量的網絡隔離要求。需要充分滿足ISO27001的管控要求，但又不被傳統安全管理帶來的效率制約，是阿里云最大的挑戰。阿里云解決了內部架構和人員的調整對管理流程帶來的沖擊，在多個工具或平臺管理上，實現了對控制要求的技術支撐和管理流程的規范，在實施ISO27001后，進一步加強了員工的流程意識，將運維方面因流程執行不規范而導致的故障降到了最低。

在通過ISO27001審核的過程中，阿里云也獲益良多。BSI培訓師幫助阿里云在不斷變化的管理和技術要求中，把握住體系建設的核心，明確風險管理的方向。還建議阿里云從提升客戶安全信心的角度，將以內部IDC基礎設施管理為主的認證范圍，擴大為以對外產品安全管理為主認證范圍。最終阿里云的證書范圍中包含了云盾(云安全服務security as a service)這類對外的產品和服務，相比僅支撐內部安全管理的證書范圍，對客戶更具備可信任度。

ISO27001表明阿里云在內部的信息安全管理方面達到了一個新的里程碑，建立了最佳的信息安全運行方式。阿里云將通過ISO27001，持續提升公司的信息安全管理水平，實現中國云計算企業的安全最佳實踐，為客戶提供安全的云計算服務。

通過ISO27001認證使得阿里云的彈性計算、RDS及云盾產品在同類企業競爭中更具優勢。作為率先通過認證的企業，阿里云認為，從數據安全的角度，承載客戶數據、客戶應用的云服務商必須通過獲得ISO27001:2005認證，阿里云希望為行業發展豎立標桿，逐步規范云計算市場，提升行業門檻，保障行業對客戶的服務水平。