距离天猫双11揭幕不足20天,为让全球消费者更畅快买买买,阿里全面保障业务稳定性和安全性的战役早已悄然进行,并有成果落地。
10月24日,阿里巴巴集团宣布已经获得英国标准协会(BSI)颁发的最新版ISO /IEC 22301国际认证,这是国内集团化电子商务领域企业首次获得此项认证;与此同时,阿里还通过了美国注册会计师协会(AICPA) 制定的SOC2 Type1审计标准,由四大会计师事务所中的安永完成了SOC2 Type1审计和报告签署。
(图说:阿里巴巴安全部资深总监张玉东从全球四大会计师事务所之一的安永合伙人李敏敏手中接过已签署的SOC2 Type1审计报告)
据介绍,此次由阿里巴巴集团风险管理事业群和基础设施事业群联合获得的两份认证,是目前安全认证体系里含金量最高的两项认证,包括天猫、淘宝、菜鸟、盒马等阿里巴巴数字经济体内的多个事业群都将受益于这两项认证。
阿里巴巴集团首席风险官郑俊芳表示,两项认证也更能体现出阿里的社会责任和对安全的承诺,这意味着阿里已经建立起一套符合国际要求的安全管理体系和数据中心运营体系。
“认证并不是最终目的,而是要提炼出真正适应DT时代要求的安全打法与体系,赋能阿里巴巴数字经济体,最终达到提升整个经济体生态安全水位的效果,持续为全球客户和数亿消费者提供更安全可信的服务。”阿里巴巴安全部资深总监张玉东表示。
衡量企业服务连续性能力的唯一标准
据介绍,ISO22301标准由国际标准委员会(ISO)技术委员会制定,于2012年9月颁布,目前已在100多个国家适用。
ISO22301是国际公认的、在衡量企业服务连续性能力上是否满足社会责任和客户承诺的唯一标准。当遇到自然灾害、人为事故等突发事件时,企业如何在最短的时间内,最高效地保持业务持续性,且不对客户产生不良影响,是ISO22301着重验证的企业能力。
据悉,阿里巴巴从今年3月开始启动评审,9月通过该认证。“我们梳理了基础设施和安全解决方案,完成了业务风险性评估,通过完整复杂的预案演练和全链路测试,来验证体系的有效性和可靠性,从而设计、实施和维护一整套高效可信的管理体系。”阿里安全专家轻染介绍,阿里巴巴在遇到自然灾害等突发风险时,能够在最短5分钟内,完成流量和服务切换,保证客户的数据和财产不受损失。
(图说:阿里巴巴基础设施资深架构师高山渊代表阿里从BSI中国区COO刘喆手中接过ISO22301证书。)
“通过ISO22301认证,意味着我们有能力承诺在全球范围提供确定的连续性服务,同时标准体系的引入,让我们能集中资源和管理更好地服务于客户,形成更良好的沟通与合作。”阿里巴巴基础设施资深架构师高山渊说。
阿里已建立符合国际要求的安全管理和基础技术服务体系
与此同时,阿里还获得基于美国注册会计师协会AICPA(SSAE18)准则要求的SOC2 Type1审计报告。
轻染介绍,SOC2 Type1关注的是企业在提供对外部用户的服务时,如何确保业务运行系统、信息或控制活动相关的数据的安全性、可用性、完整性以及保密性满足用户需求。
据悉,今年4月,安永入驻阿里巴巴审计,通过访谈员工、随机抽查抽样、测试等,对100多项涉及安全控制点和控制活动的数据安全和安全合规进行审核,最终形成一份近100页的报告。
2017年以来,阿里巴巴安全体系频受国际机构认可。去年12月,阿里巴巴获全国首张集团化电子商务领域ISO27001安全认证证书,在信息安全管理领域已实现国际标准认证;今年7月,全球最大信息安全非营利会员组织(ISC)2的亚太区信息安全领袖成就表彰计划中,张玉东代表阿里安全体系成为内地首位互联网企业获奖者。
依托于数千名安全专家和工程师团队组成的阿里巴巴安全部(隶属于阿里巴巴风险管理事业群),已历经九年天猫双11的安全保障考验,对保护阿里生态系数亿级用户数据安全和业务稳定性有着丰富的经验。
张玉东表示,阿里安全体系目前集大数据风险管理和攻防一体化研究于一体,通过对海量数据的加工、计算、分析和处理,结合各领域专家经验,不断实战锤炼出立体纵深防御体系,已建立起全面的账户安全、信息保护、反欺诈等管理机制。
