阿里云获全球第一张AV认证金牌

如果把企业比作一辆汽车，ISO27001就是保证汽车更安全，ISO20000就是保证汽车跑得更快而且问题更少，这就是合规的力量。

阿里云在保持业务高速发展的同时，还能保证服务的安全交付，ISO27001功不可没。

如何确保云计算业务在跑得稳的同时，还能更快更高效，这也是最近阿里云一举通过ISO20000认证的原因所在。

3、行业增强类

这类认证是针对特定行业的安全认证，像支付卡行业的国际安全认证PCI-DSS标准，国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性，比如支付宝。

而有关云安全的认证也是越来越受到关注和重视，云安全认证首推CSA STAR认证。

该认证包含三块内容：

第一块是与AICPA联合的CSA STAR Attestation，该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵，用来指导SOC 2的执行；

第二块是CSA STAR Certification，由CSA指定第三方认证机构基于ISO27001+CSA云控制矩阵来进行评估，算是最正宗的CSA云安全认证；

第三块是针对我大天朝的CSA C-STAR评估，基于GB/T 22080-2008+等级保护基本要求＋GB/Z 28828-2012以及CSA的云控制矩阵。

国内有一家公司获得了全球第一张云安全国际认证金牌（CSA-STAR），大伙觉得是谁，不用猜，还是阿里云。

关于云计算安全评估还有两个ISO27000系列的标准可以进行认证，分别是：

《ISO27017:2015 基于27002的云计算服务的信息安全控制措施实用规则》

《ISO27018:2014 公共云计算服务的数据保护控制措施实用规则》

ISO27017:2015针对云服务的信息安全控制提供了实施指导。

ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。

基于ISO27002，并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。

国内也发布了两个云计算服务的相关标准，《GB/T 31167-2014 信息安全技术 云计算服务安全指南》和《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》，至于谁来执行，暂时没看到更多信息。

为什么要强调合规？

合规不能保证绝对安全，但合规是安全的基础，也是当前提升企业安全保障能力的重要途径，这也是越来越多的企业青睐认证的缘由。

大家应该清楚合规和安全的关系，开车上路就必须得持有驾照，必须得系安全带，这就是交通领域的合规，但是你即使完全合规，也不能100%保证不发生安全事故。

合规的意义是什么，让你掌握驾驶技能、交通法规和安全驾驶技巧。能够像安全带一样，在发生交通事故时把伤害降低到最低，合规是安全的基石，做与不做差别很大。

再回到信息安全领域，甲方会遇到很多的合规需求，像等级保护、pci dss、iso27001等等，但一部分人对合规的认知有所偏差，认为满足合规就安全了，其实还远远不够，合规是让你的信息安全保障能力达到一个基本60 分、70分、80分的水平，但是70分和80分不是安全建设的目标和终点。

最后再讲一句，金杯银杯不如客户的口碑，把合规带来的能力变成附加值，反馈客户，普惠大众，这才是合规的价值。