没收到验证邮件?请确认邮箱是否正确或 重新发送邮件
来源:IPRdaily中文网(IPRdaily.cn)
原标题:阿里巴巴获全国首张集团化电子商务领域ISO27001安全认证证书!
自2017年6月《网络安全法》颁布实施以来,信息安全、个人信息保护等话题被公众热议。作为新型经济体,阿里巴巴集团如何做信息管理、数据安全等尤为瞩目。经权威认证机构DET NORSKE VERITAS挪威船级社(下称“DNV”)认证,去年底成功获得ISO/IEC 27001:2013国际信息管理体系认证,2018年2月7日,认证颁证仪式在杭州阿里巴巴西溪园区举行。
2月7日,DNVGL管理服务集团大中国区副总裁兼营销总经理陈立为阿里巴巴集团颁发中国首张集团化电子商务领域ISO27001安全认证证书
据悉ISO/IEC 27001标准一直被公认为全球最权威、最严格,也是最被广泛接受和应用的信息安全领域的体系认证标准,不仅对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;而且建立、实施和文件化信息安全管理体系(ISMS)的要求,规定根据独立组织的需要应实施安全控制的要求。
此次阿里巴巴集团ISO27001认证覆盖旗下B2B(ICBU、AE)、B2C(天猫国际)、信息平台事业部、安全部、大文娱(优土)等事业群,在此之前钉钉、菜鸟、AIS事业群、御膳房等多个事业群已获得独立认证。
这也是国内企业在集团化电子商务领域获得的第一张证书,也意味着阿里巴巴在信息安全管理领域已实现国际标准认证,信息安全保障体系进一步升级。
阿里已建立一套对标国际的安全管理体系
阿里巴巴集团首席风险官郑俊芳在发言中指出,阿里巴巴通过ISO 27001认证,更能体现阿里的企业社会责任对安全的承诺,表明阿里的安全已经建立起一套与国际同行对标的安全管理体系,能够为用户提供可信安全的电商服务。
“但我们仍要清醒地认识到认证不是我们的最终目的,更重要的是借此契机学习业内成熟的经验,结合阿里作为互联网大平台的实践,提炼出真正适应DT时代要求的安全打法与体系,赋能电商生态,最终达到提升整个电商生态安全水位的效果。”郑俊芳强调。
阿里巴巴安全部资深总监张玉东则表示,阿里是一家数据公司,数据保护是我们的立足之本。“保护数据的机密性、完整性和可用性,在阿里内部是通过技术、管理手段保护来共同实现的。”
针对目前政府监管层对网络运营者的要求和国际化趋势下对信息安全的要求,阿里巴巴集团建立了“决策-监督-执行”的三级安全组织,向上主动对接、中台提供管理服务和技术能力、各业务单元落地执行;开展全员的安全意识培训,提升员工安全意识,并储备安全人才。
张玉东指出,此次ISO27001标准信息安全管理体系建立共历时8个月,深度介入阿里安全部、阿里基础设施事业群、信息平台以及业务单元30余名核心人员,内外部投入工时700余人/天,通过在安全策略和安全组织、安全运行、技术以及基础架构支持等方面的调整和改进,从组织、业务流程和技术层面建立有效、可持续运营、符合业界标准的管理措施和解决方案,有效管理风险,确保主要信息系统安全风险持续达到安全可控的水平。
“通过安全认证意味担负的责任更大”
图说:阿里巴巴集团首席风险官郑俊芳在颁证仪式上表示,阿里巴巴在电子商务领域获得国内第一张集团级别ISO 27001认证的证书具有典范意义,未来还将从多个方面发挥这套体系的价值。
中国信息通信研究院的数据显示,全球安全产业规模从 2016 年至 2019 年有望保持超过 8%的增长速率;中国信息安全市场将保持快速增长,预计到 2020年将达447.7亿元,年复合增长率20.6%。
这与近年来信息安全需求的提升、国家政策支持、信息安全标准化推进以及信息技术不断发展革新等因素关联密切,而未来信息安全的立体化防护、内外兼顾也成为大势所趋。
此次阿里巴巴通过ISO 27001认证,不仅要保障公司内部信息安全,也要保障客户、商户的信息安全。
郑俊芳在发言中指出,阿里巴巴在电子商务领域获得国内首张集团化ISO 27001认证的证书具有典范意义,未来还将从几个方面发挥这套体系的价值。
首先,要确保从技术底层开始,通过管理和技术手段保护用户的交易信息、客户信息、商户信息及交易认证等敏感数据和服务免受外部威胁的影响,强化交易过程中的安全。“随着我们近几年继续发力拓展海外市场,我们需要一个国际通用的标准来证明,要告诉海外用户,阿里的安全保障能力已经达到足够高的水准,是用户值得信任的电子商务平台。”郑俊芳指出。
“阿里也确实正在通过多方面努力,希望将在信息安全管理方面的经验沉淀分享给生态伙伴,能够真正给需要帮助的电商生态伙伴提供切实有效的帮助,从而建立起电商生态行业更加安全有效的管理体系,我们一直在实践。“阿里巴巴集团安全部安全专家马余静介绍说,比如2016年阿里巴巴就发起了“电子商务生态安全联盟” 旨在提高电子商务生态参与者整体的安全能力。
当前联盟成员单位已吸纳了行业中不少的领军企业,包括电商平台、服务商、物流、商家、安全公司、安全培训机构等。电商行业内的很多服务、标准、风险动态、最佳实践等都会通过这个组织进行同步和落地。后续也会继续吸纳更多希望为电商生态提供安全力量的机构服务电商生态。
同时为了把多年积累的安全能力通过产品和工具赋能给生态内伙伴,阿里安全还推出了“御城河”产品,它基于阿里强大的数据分析能力,协助服务商、商家、物流等生态合作伙伴及时发现预警、感知风险并提供处置能力,保障核心数据安全。在信息安全保护的其他方面,阿里也有不少类似“御城河”这样的工具在为电商生态伙伴提供服务。
基于此次颁奖仪式,IPRdaily驻杭州记者采访了阿里巴巴集团-安全部技术平台业务负责人张玉东先生,了解一下阿里巴巴集团以ISO27001认证标准为蓝本,搭建符合业界标准的信息安全管理体系这一过程。以下为采访原文:
IPRdaily:请问此次阿里集团获得的国内外通行ISO27001信息安全认证,对内和对外有哪些重要影响和意义?
答:对内规范管理体系,规范安全管理的体系运行,明确安全策略,制度规范,指南和度量指标,系统的整体的来看安全管理,建立持续改进的初始基线量化和指导安全管理的决策和方向。对外对标行业标准,与行业内保持统一对话频道,建立相互信任的基础。
IPRdaily:据了解ISO27001标准包含了十多个种类的章节,结合您在阿里巴巴集团自身经验,请问您怎么看待“资产管理”对企业的重要性?
答:安全管理的目标就在保护企业和他的信息资产,确保风险始终处于可接受的水平。其中里面技术的风险是实实在在落在企业的物理资产或者数据的资产之上的,安全管理的风险的评估、处置等是基于资产的价值和重要性来决定的,因此资产管理就成为企业中IT风险管理的基础,如果资产的识别,价值的判断,资产的相关性和权属这些基本的信息不能进行准确的验证和管理,那么整个安全管理都会成为无本之木,无法在合理的成本和效率之下取得预期的管理效果。
IPRdaily:就上述的“标准分类章节”中的内容有涉及到安全策略、访问控制、通信和操作管理等等元素,是否有哪些方面是安全部门还有待加强的?
答:首先安全管理不是个一次性的行为,是一个持续改进的动态过程,也就是说在不断的加强和改进中,在每个控制点上我们或者在努力提高管控的效果,或者在提升管理的效率,不然就是在想办法降低管理的成本和对业务的影响,安全部门一直在努力探求有效的管理安全风险和较小的影响业务之间的平衡,我们也一直跟踪各种新技术、新方法、新理念在安全管理中的应用。
IPRdaily:为了搭建符合“ISO27001认证标准”的信息安全管理体系工作,集团有哪些部门参与这一工作?这个过程中是否有什么困难?
答:知识产权、法务部门对于安全管理来讲是非常重要的,在认证过程中我们需要梳理出阿里业务在法律和法规层面必须要满足的要求,例如《网络安全法》《通用数据保护要求GDPR》等,知识产权保护要求,隐私保护要求等,这些法律法规规定的企业在安全和保护上的职责都是安全管理必须承担责任和义务,这些要求也会逐步通过我们的内部规范,管理流程和技术手段切实的落实在执行之中。比如在软件的开发过程中,把对个人信息的采集和处理要求落实在代码层面,在日常运维过程中把安全事件响应,漏洞通报同步机制等要求落实到工具、流程和人。
IPRdaily:这次的标准认证的通过对于阿里集团旗下的国内外电商平台上的入驻品牌权利人有何重要意义?
答:对于电商平台上入驻的品牌权利人来说,阿里平台是他们业务开展的重要平台,平台的安全需要的到保护,并且通过阿里平台购买其产品的顾客也是品牌的客户,这些顾客的信息同样需要受到保护,对于品牌权利人来说他们需要确保阿里这个平台不仅提供了更多的客户,同样也为双方的平台和客户提供了相应的安全保护,在法律义务上尽到了应尽的责任。通过ISO27001,可以说集团安全在保护品牌权利人入驻的平台和品牌的客户方面,已经符合和达到了国际上广泛认可的安全管理的体系要求,当然我们的目标不止于此,但这是我们起步的开始。
来源:IPRdaily中文网(IPRdaily.cn)
编辑:IPRdaily赵珍 校对:IPRdaily纵横君
推荐阅读
“投稿”请投邮箱“iprdaily@163.com”
「关于IPRdaily」
IPRdaily成立于2014年,是全球影响力的知识产权媒体+产业服务平台,致力于连接全球知识产权人,用户汇聚了中国、美国、德国、俄罗斯、以色列、澳大利亚、新加坡、日本、韩国等15个国家和地区的高科技公司、成长型科技企业IP高管、研发人员、法务、政府机构、律所、事务所、科研院校等全球近50多万产业用户(国内25万+海外30万);同时拥有近百万条高质量的技术资源+专利资源,通过媒体构建全球知识产权资产信息第一入口。2016年获启赋资本领投和天使汇跟投的Pre-A轮融资。
(英文官网:iprdaily.com 中文官网:iprdaily.cn)
本文来自IPRdaily.cn 中文网并经IPRdaily.cn中文网编辑。转载此文章须经权利人同意,并附上出处与作者信息。文章不代表IPRdaily.cn立场,如若转载,请注明出处:“http://www.iprdaily.cn/”
共发表文章4685篇文章不错,犒劳下辛苦的作者吧
- 我也说两句
- 还可以输入140个字
