圖說:2月7日,DNVGL管理服務集團大中國區副總裁兼營銷總經理陳立為阿里巴巴集團頒發中國首張集團化電子商務領域ISO27001安全認證證書
自2017年6月《網絡安全法》頒佈實施以來,信息安全、個人信息保護等話題被公眾熱議。作為新型經濟體,阿里巴巴集團如何做信息管理、數據安全等尤為矚目。
經權威認證機構DET NORSKE VERITAS挪威船級社(下稱“DNV”)認證,去年底成功獲得ISO/IEC 27001:2013國際信息管理體系認證,2018年2月7日,認證頒證儀式在杭州阿里巴巴西溪園區舉行。
據悉,該標準一直被公認為全球最權威、最嚴格,也是最被廣泛接受和應用的信息安全領域的體系認證標準,不僅對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;而且建立、實施和文件化信息安全管理體系(ISMS)的要求,規定根據獨立組織的需要應實施安全控制的要求。
此次阿里巴巴集團ISO27001認證覆蓋旗下B2B(ICBU、AE)、B2C(天貓國際)、信息平臺事業部、安全部、大文娛(優土)等事業群,在此之前釘釘、菜鳥、AIS事業群、御膳房等多個事業群已獲得獨立認證。
這也是國內企業在集團化電子商務領域獲得的第一張證書,也意味著阿里巴巴在信息安全管理領域已實現國際標準認證,信息安全保障體系進一步升級。
阿里已建立一套對標國際的安全管理體系
阿里巴巴集團首席風險官鄭俊芳在發言中指出,阿里巴巴通過ISO 27001認證,更能體現阿里的企業社會責任對安全的承諾,表明阿里的安全已經建立起一套與國際同行對標的安全管理體系,能夠為用戶提供可信安全的電商服務。
“但我們仍要清醒地認識到認證不是我們的最終目的,更重要的是藉此契機學習業內成熟的經驗,結合阿里作為互聯網大平臺的實踐,提煉出真正適應DT時代要求的安全打法與體系,賦能電商生態,最終達到提升整個電商生態安全水位的效果。”鄭俊芳強調。
阿里巴巴安全部資深總監張玉東則表示,阿里是一家數據公司,數據保護是我們的立足之本。“保護數據的機密性、完整性和可用性,在阿里內部是通過技術、管理手段保護來共同實現的。”
針對目前政府監管層對網絡運營者的要求和國際化趨勢下對信息安全的要求,阿里巴巴集團建立了“決策-監督-執行”的三級安全組織,向上主動對接、中臺提供管理服務和技術能力、各業務單元落地執行;開展全員的安全意識培訓,提升員工安全意識,並儲備安全人才。
張玉東指出,此次ISO27001標準信息安全管理體系建立共歷時8個月,深度介入阿里安全部、阿里基礎設施事業群、信息平臺以及業務單元30餘名核心人員,內外部投入工時700餘人/天,通過在安全策略和安全組織、安全運行、技術以及基礎架構支持等方面的調整和改進,從組織、業務流程和技術層面建立有效、可持續運營、符合業界標準的管理措施和解決方案,有效管理風險,確保主要信息系統安全風險持續達到安全可控的水平。
“通過安全認證意味擔負的責任更大”
圖說:阿里巴巴集團首席風險官鄭俊芳在頒證儀式上表示,阿里巴巴在電子商務領域獲得國內第一張集團級別ISO 27001認證的證書具有典範意義,未來還將從多個方面發揮這套體系的價值。
中國信息通信研究院的數據顯示,全球安全產業規模從 2016 年至 2019 年有望保持超過 8%的增長速率;中國信息安全市場將保持快速增長,預計到 2020年將達447.7億元,年複合增長率20.6%。
這與近年來信息安全需求的提升、國家政策支持、信息安全標準化推進以及信息技術不斷髮展革新等因素關聯密切,而未來信息安全的立體化防護、內外兼顧也成為大勢所趨。
此次阿里巴巴通過ISO 27001認證,不僅要保障公司內部信息安全,也要保障客戶、商戶的信息安全。
鄭俊芳在發言中指出,阿里巴巴在電子商務領域獲得國內首張集團化ISO 27001認證的證書具有典範意義,未來還將從幾個方面發揮這套體系的價值。
首先,要確保從技術底層開始,通過管理和技術手段保護用戶的交易信息、客戶信息、商戶信息及交易認證等敏感數據和服務免受外部威脅的影響,強化交易過程中的安全。“隨著我們近幾年繼續發力拓展海外市場,我們需要一個國際通用的標準來證明,要告訴海外用戶,阿里的安全保障能力已經達到足夠高的水準,是用戶值得信任的電子商務平臺。”鄭俊芳指出。
“阿里也確實正在通過多方面努力,希望將在信息安全管理方面的經驗沉澱分享給生態夥伴,能夠真正給需要幫助的電商生態夥伴提供切實有效的幫助,從而建立起電商生態行業更加安全有效的管理體系,我們一直在實踐。“阿里巴巴集團安全部安全專家馬餘靜介紹說,比如2016年阿里巴巴就發起了“電子商務生態安全聯盟” 旨在提高電子商務生態參與者整體的安全能力。
當前聯盟成員單位已吸納了行業中不少的領軍企業,包括電商平臺、服務商、物流、商家、安全公司、安全培訓機構等。電商行業內的很多服務、標準、風險動態、最佳實踐等都會通過這個組織進行同步和落地。後續也會繼續吸納更多希望為電商生態提供安全力量的機構服務電商生態。
同時為了把多年積累的安全能力通過產品和工具賦能給生態內夥伴,阿里安全還推出了“御城河”產品,它基於阿里強大的數據分析能力,協助服務商、商家、物流等生態合作伙伴及時發現預警、感知風險並提供處置能力,保障核心數據安全。在信息安全保護的其他方面,阿里也有不少類似“御城河”這樣的工具在為電商生態夥伴提供服務。
閱讀更多 阿里安全 的文章
