來(lái)源:IPRdaily中文網(wǎng)(IPRdaily.cn)
原標(biāo)題:阿里巴巴獲全國(guó)首張集團(tuán)化電子商務(wù)領(lǐng)域ISO27001安全認(rèn)證證書(shū)!
自2017年6月《網(wǎng)絡(luò)安全法》頒布實(shí)施以來(lái),信息安全、個(gè)人信息保護(hù)等話題被公眾熱議。作為新型經(jīng)濟(jì)體,阿里巴巴集團(tuán)如何做信息管理、數(shù)據(jù)安全等尤為矚目。經(jīng)權(quán)威認(rèn)證機(jī)構(gòu)DET NORSKE VERITAS挪威船級(jí)社(下稱“DNV”)認(rèn)證,去年底成功獲得ISO/IEC 27001:2013國(guó)際信息管理體系認(rèn)證,2018年2月7日,認(rèn)證頒證儀式在杭州阿里巴巴西溪園區(qū)舉行。
2月7日,DNVGL管理服務(wù)集團(tuán)大中國(guó)區(qū)副總裁兼營(yíng)銷總經(jīng)理陳立為阿里巴巴集團(tuán)頒發(fā)中國(guó)首張集團(tuán)化電子商務(wù)領(lǐng)域ISO27001安全認(rèn)證證書(shū)
據(jù)悉ISO/IEC 27001標(biāo)準(zhǔn)一直被公認(rèn)為全球最權(quán)威、最嚴(yán)格,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn),不僅對(duì)信息安全管理給出建議,供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用;而且建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求,規(guī)定根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。
此次阿里巴巴集團(tuán)ISO27001認(rèn)證覆蓋旗下B2B(ICBU、AE)、B2C(天貓國(guó)際)、信息平臺(tái)事業(yè)部、安全部、大文娛(優(yōu)土)等事業(yè)群,在此之前釘釘、菜鳥(niǎo)、AIS事業(yè)群、御膳房等多個(gè)事業(yè)群已獲得獨(dú)立認(rèn)證。
這也是國(guó)內(nèi)企業(yè)在集團(tuán)化電子商務(wù)領(lǐng)域獲得的第一張證書(shū),也意味著阿里巴巴在信息安全管理領(lǐng)域已實(shí)現(xiàn)國(guó)際標(biāo)準(zhǔn)認(rèn)證,信息安全保障體系進(jìn)一步升級(jí)。
阿里已建立一套對(duì)標(biāo)國(guó)際的安全管理體系
阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳在發(fā)言中指出,阿里巴巴通過(guò)ISO 27001認(rèn)證,更能體現(xiàn)阿里的企業(yè)社會(huì)責(zé)任對(duì)安全的承諾,表明阿里的安全已經(jīng)建立起一套與國(guó)際同行對(duì)標(biāo)的安全管理體系,能夠?yàn)橛脩籼峁┛尚虐踩碾娚谭?wù)。
“但我們?nèi)砸逍训卣J(rèn)識(shí)到認(rèn)證不是我們的最終目的,更重要的是借此契機(jī)學(xué)習(xí)業(yè)內(nèi)成熟的經(jīng)驗(yàn),結(jié)合阿里作為互聯(lián)網(wǎng)大平臺(tái)的實(shí)踐,提煉出真正適應(yīng)DT時(shí)代要求的安全打法與體系,賦能電商生態(tài),最終達(dá)到提升整個(gè)電商生態(tài)安全水位的效果?!编嵖》紡?qiáng)調(diào)。
阿里巴巴安全部資深總監(jiān)張玉東則表示,阿里是一家數(shù)據(jù)公司,數(shù)據(jù)保護(hù)是我們的立足之本?!氨Wo(hù)數(shù)據(jù)的機(jī)密性、完整性和可用性,在阿里內(nèi)部是通過(guò)技術(shù)、管理手段保護(hù)來(lái)共同實(shí)現(xiàn)的?!?/p>
針對(duì)目前政府監(jiān)管層對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的要求和國(guó)際化趨勢(shì)下對(duì)信息安全的要求,阿里巴巴集團(tuán)建立了“決策-監(jiān)督-執(zhí)行”的三級(jí)安全組織,向上主動(dòng)對(duì)接、中臺(tái)提供管理服務(wù)和技術(shù)能力、各業(yè)務(wù)單元落地執(zhí)行;開(kāi)展全員的安全意識(shí)培訓(xùn),提升員工安全意識(shí),并儲(chǔ)備安全人才。
張玉東指出,此次ISO27001標(biāo)準(zhǔn)信息安全管理體系建立共歷時(shí)8個(gè)月,深度介入阿里安全部、阿里基礎(chǔ)設(shè)施事業(yè)群、信息平臺(tái)以及業(yè)務(wù)單元30余名核心人員,內(nèi)外部投入工時(shí)700余人/天,通過(guò)在安全策略和安全組織、安全運(yùn)行、技術(shù)以及基礎(chǔ)架構(gòu)支持等方面的調(diào)整和改進(jìn),從組織、業(yè)務(wù)流程和技術(shù)層面建立有效、可持續(xù)運(yùn)營(yíng)、符合業(yè)界標(biāo)準(zhǔn)的管理措施和解決方案,有效管理風(fēng)險(xiǎn),確保主要信息系統(tǒng)安全風(fēng)險(xiǎn)持續(xù)達(dá)到安全可控的水平。
“通過(guò)安全認(rèn)證意味擔(dān)負(fù)的責(zé)任更大”
圖說(shuō):阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳在頒證儀式上表示,阿里巴巴在電子商務(wù)領(lǐng)域獲得國(guó)內(nèi)第一張集團(tuán)級(jí)別ISO 27001認(rèn)證的證書(shū)具有典范意義,未來(lái)還將從多個(gè)方面發(fā)揮這套體系的價(jià)值。
中國(guó)信息通信研究院的數(shù)據(jù)顯示,全球安全產(chǎn)業(yè)規(guī)模從 2016 年至 2019 年有望保持超過(guò) 8%的增長(zhǎng)速率;中國(guó)信息安全市場(chǎng)將保持快速增長(zhǎng),預(yù)計(jì)到 2020年將達(dá)447.7億元,年復(fù)合增長(zhǎng)率20.6%。
這與近年來(lái)信息安全需求的提升、國(guó)家政策支持、信息安全標(biāo)準(zhǔn)化推進(jìn)以及信息技術(shù)不斷發(fā)展革新等因素關(guān)聯(lián)密切,而未來(lái)信息安全的立體化防護(hù)、內(nèi)外兼顧也成為大勢(shì)所趨。
此次阿里巴巴通過(guò)ISO 27001認(rèn)證,不僅要保障公司內(nèi)部信息安全,也要保障客戶、商戶的信息安全。
鄭俊芳在發(fā)言中指出,阿里巴巴在電子商務(wù)領(lǐng)域獲得國(guó)內(nèi)首張集團(tuán)化ISO 27001認(rèn)證的證書(shū)具有典范意義,未來(lái)還將從幾個(gè)方面發(fā)揮這套體系的價(jià)值。
首先,要確保從技術(shù)底層開(kāi)始,通過(guò)管理和技術(shù)手段保護(hù)用戶的交易信息、客戶信息、商戶信息及交易認(rèn)證等敏感數(shù)據(jù)和服務(wù)免受外部威脅的影響,強(qiáng)化交易過(guò)程中的安全?!半S著我們近幾年繼續(xù)發(fā)力拓展海外市場(chǎng),我們需要一個(gè)國(guó)際通用的標(biāo)準(zhǔn)來(lái)證明,要告訴海外用戶,阿里的安全保障能力已經(jīng)達(dá)到足夠高的水準(zhǔn),是用戶值得信任的電子商務(wù)平臺(tái)。”鄭俊芳指出。
“阿里也確實(shí)正在通過(guò)多方面努力,希望將在信息安全管理方面的經(jīng)驗(yàn)沉淀分享給生態(tài)伙伴,能夠真正給需要幫助的電商生態(tài)伙伴提供切實(shí)有效的幫助,從而建立起電商生態(tài)行業(yè)更加安全有效的管理體系,我們一直在實(shí)踐?!鞍⒗锇桶图瘓F(tuán)安全部安全專家馬余靜介紹說(shuō),比如2016年阿里巴巴就發(fā)起了“電子商務(wù)生態(tài)安全聯(lián)盟” 旨在提高電子商務(wù)生態(tài)參與者整體的安全能力。
當(dāng)前聯(lián)盟成員單位已吸納了行業(yè)中不少的領(lǐng)軍企業(yè),包括電商平臺(tái)、服務(wù)商、物流、商家、安全公司、安全培訓(xùn)機(jī)構(gòu)等。電商行業(yè)內(nèi)的很多服務(wù)、標(biāo)準(zhǔn)、風(fēng)險(xiǎn)動(dòng)態(tài)、最佳實(shí)踐等都會(huì)通過(guò)這個(gè)組織進(jìn)行同步和落地。后續(xù)也會(huì)繼續(xù)吸納更多希望為電商生態(tài)提供安全力量的機(jī)構(gòu)服務(wù)電商生態(tài)。
同時(shí)為了把多年積累的安全能力通過(guò)產(chǎn)品和工具賦能給生態(tài)內(nèi)伙伴,阿里安全還推出了“御城河”產(chǎn)品,它基于阿里強(qiáng)大的數(shù)據(jù)分析能力,協(xié)助服務(wù)商、商家、物流等生態(tài)合作伙伴及時(shí)發(fā)現(xiàn)預(yù)警、感知風(fēng)險(xiǎn)并提供處置能力,保障核心數(shù)據(jù)安全。在信息安全保護(hù)的其他方面,阿里也有不少類似“御城河”這樣的工具在為電商生態(tài)伙伴提供服務(wù)。
基于此次頒獎(jiǎng)儀式,IPRdaily駐杭州記者采訪了阿里巴巴集團(tuán)-安全部技術(shù)平臺(tái)業(yè)務(wù)負(fù)責(zé)人張玉東先生,了解一下阿里巴巴集團(tuán)以ISO27001認(rèn)證標(biāo)準(zhǔn)為藍(lán)本,搭建符合業(yè)界標(biāo)準(zhǔn)的信息安全管理體系這一過(guò)程。以下為采訪原文:
IPRdaily:請(qǐng)問(wèn)此次阿里集團(tuán)獲得的國(guó)內(nèi)外通行ISO27001信息安全認(rèn)證,對(duì)內(nèi)和對(duì)外有哪些重要影響和意義?
答:對(duì)內(nèi)規(guī)范管理體系,規(guī)范安全管理的體系運(yùn)行,明確安全策略,制度規(guī)范,指南和度量指標(biāo),系統(tǒng)的整體的來(lái)看安全管理,建立持續(xù)改進(jìn)的初始基線量化和指導(dǎo)安全管理的決策和方向。對(duì)外對(duì)標(biāo)行業(yè)標(biāo)準(zhǔn),與行業(yè)內(nèi)保持統(tǒng)一對(duì)話頻道,建立相互信任的基礎(chǔ)。
IPRdaily:據(jù)了解ISO27001標(biāo)準(zhǔn)包含了十多個(gè)種類的章節(jié),結(jié)合您在阿里巴巴集團(tuán)自身經(jīng)驗(yàn),請(qǐng)問(wèn)您怎么看待“資產(chǎn)管理”對(duì)企業(yè)的重要性?
答:安全管理的目標(biāo)就在保護(hù)企業(yè)和他的信息資產(chǎn),確保風(fēng)險(xiǎn)始終處于可接受的水平。其中里面技術(shù)的風(fēng)險(xiǎn)是實(shí)實(shí)在在落在企業(yè)的物理資產(chǎn)或者數(shù)據(jù)的資產(chǎn)之上的,安全管理的風(fēng)險(xiǎn)的評(píng)估、處置等是基于資產(chǎn)的價(jià)值和重要性來(lái)決定的,因此資產(chǎn)管理就成為企業(yè)中IT風(fēng)險(xiǎn)管理的基礎(chǔ),如果資產(chǎn)的識(shí)別,價(jià)值的判斷,資產(chǎn)的相關(guān)性和權(quán)屬這些基本的信息不能進(jìn)行準(zhǔn)確的驗(yàn)證和管理,那么整個(gè)安全管理都會(huì)成為無(wú)本之木,無(wú)法在合理的成本和效率之下取得預(yù)期的管理效果。
IPRdaily:就上述的“標(biāo)準(zhǔn)分類章節(jié)”中的內(nèi)容有涉及到安全策略、訪問(wèn)控制、通信和操作管理等等元素,是否有哪些方面是安全部門(mén)還有待加強(qiáng)的?
答:首先安全管理不是個(gè)一次性的行為,是一個(gè)持續(xù)改進(jìn)的動(dòng)態(tài)過(guò)程,也就是說(shuō)在不斷的加強(qiáng)和改進(jìn)中,在每個(gè)控制點(diǎn)上我們或者在努力提高管控的效果,或者在提升管理的效率,不然就是在想辦法降低管理的成本和對(duì)業(yè)務(wù)的影響,安全部門(mén)一直在努力探求有效的管理安全風(fēng)險(xiǎn)和較小的影響業(yè)務(wù)之間的平衡,我們也一直跟蹤各種新技術(shù)、新方法、新理念在安全管理中的應(yīng)用。
IPRdaily:為了搭建符合“ISO27001認(rèn)證標(biāo)準(zhǔn)”的信息安全管理體系工作,集團(tuán)有哪些部門(mén)參與這一工作?這個(gè)過(guò)程中是否有什么困難?
答:知識(shí)產(chǎn)權(quán)、法務(wù)部門(mén)對(duì)于安全管理來(lái)講是非常重要的,在認(rèn)證過(guò)程中我們需要梳理出阿里業(yè)務(wù)在法律和法規(guī)層面必須要滿足的要求,例如《網(wǎng)絡(luò)安全法》《通用數(shù)據(jù)保護(hù)要求GDPR》等,知識(shí)產(chǎn)權(quán)保護(hù)要求,隱私保護(hù)要求等,這些法律法規(guī)規(guī)定的企業(yè)在安全和保護(hù)上的職責(zé)都是安全管理必須承擔(dān)責(zé)任和義務(wù),這些要求也會(huì)逐步通過(guò)我們的內(nèi)部規(guī)范,管理流程和技術(shù)手段切實(shí)的落實(shí)在執(zhí)行之中。比如在軟件的開(kāi)發(fā)過(guò)程中,把對(duì)個(gè)人信息的采集和處理要求落實(shí)在代碼層面,在日常運(yùn)維過(guò)程中把安全事件響應(yīng),漏洞通報(bào)同步機(jī)制等要求落實(shí)到工具、流程和人。
IPRdaily:這次的標(biāo)準(zhǔn)認(rèn)證的通過(guò)對(duì)于阿里集團(tuán)旗下的國(guó)內(nèi)外電商平臺(tái)上的入駐品牌權(quán)利人有何重要意義?
答:對(duì)于電商平臺(tái)上入駐的品牌權(quán)利人來(lái)說(shuō),阿里平臺(tái)是他們業(yè)務(wù)開(kāi)展的重要平臺(tái),平臺(tái)的安全需要的到保護(hù),并且通過(guò)阿里平臺(tái)購(gòu)買(mǎi)其產(chǎn)品的顧客也是品牌的客戶,這些顧客的信息同樣需要受到保護(hù),對(duì)于品牌權(quán)利人來(lái)說(shuō)他們需要確保阿里這個(gè)平臺(tái)不僅提供了更多的客戶,同樣也為雙方的平臺(tái)和客戶提供了相應(yīng)的安全保護(hù),在法律義務(wù)上盡到了應(yīng)盡的責(zé)任。通過(guò)ISO27001,可以說(shuō)集團(tuán)安全在保護(hù)品牌權(quán)利人入駐的平臺(tái)和品牌的客戶方面,已經(jīng)符合和達(dá)到了國(guó)際上廣泛認(rèn)可的安全管理的體系要求,當(dāng)然我們的目標(biāo)不止于此,但這是我們起步的開(kāi)始。
來(lái)源:IPRdaily中文網(wǎng)(IPRdaily.cn)
編輯:IPRdaily趙珍 校對(duì):IPRdaily縱橫君
推薦閱讀
2017全球區(qū)塊鏈企業(yè)專利排行榜(前100名)
2017年企業(yè)發(fā)明授權(quán)專利排行榜(前100名)
“投稿”請(qǐng)投郵箱“iprdaily@163.com”
「關(guān)于IPRdaily」
IPRdaily成立于2014年,是全球影響力的知識(shí)產(chǎn)權(quán)媒體+產(chǎn)業(yè)服務(wù)平臺(tái),致力于連接全球知識(shí)產(chǎn)權(quán)人,用戶匯聚了中國(guó)、美國(guó)、德國(guó)、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國(guó)等15個(gè)國(guó)家和地區(qū)的高科技公司、成長(zhǎng)型科技企業(yè)IP高管、研發(fā)人員、法務(wù)、政府機(jī)構(gòu)、律所、事務(wù)所、科研院校等全球近50多萬(wàn)產(chǎn)業(yè)用戶(國(guó)內(nèi)25萬(wàn)+海外30萬(wàn));同時(shí)擁有近百萬(wàn)條高質(zhì)量的技術(shù)資源+專利資源,通過(guò)媒體構(gòu)建全球知識(shí)產(chǎn)權(quán)資產(chǎn)信息第一入口。2016年獲啟賦資本領(lǐng)投和天使匯跟投的Pre-A輪融資。
(英文官網(wǎng):iprdaily.com 中文官網(wǎng):iprdaily.cn)
本文來(lái)自IPRdaily.cn 中文網(wǎng)并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意,并附上出處與作者信息。文章不代表IPRdaily.cn立場(chǎng),如若轉(zhuǎn)載,請(qǐng)注明出處:“http://islanderfriend.com/”
文章不錯(cuò),犒勞下辛苦的作者吧