什么是BSIMM?
BSIMM( The Building Security In Maturity Model)全稱是構(gòu)建軟件安全成熟度模型,是美國 Cigital 公司于2008年發(fā)起的安全研究項目。BSIMM將軟件安全劃分為4個領(lǐng)域、12個實踐、113個活動,以衡量軟件的安全性。不同公司可根據(jù)自身情況,選擇相應(yīng)的實踐活動,以持續(xù)提升軟件安全水平。目前,包括微軟在內(nèi)的全球129家公司參與了BSIMM。
早在2013年,華為即同Cigital合作,引入BSIMM,對產(chǎn)品的整體安全能力進(jìn)行評估,包括安全標(biāo)準(zhǔn)策略、安全培訓(xùn)、安全架構(gòu)、安全測試等,制定有針對性的安全計劃,持續(xù)提升安全成熟度。
華為云通過BSIMM意味著什么?
首先,華為云高分通過這一權(quán)威測評,意味著無論是云服務(wù)的安全性還是用戶隱私保護(hù),都經(jīng)過了第三方權(quán)威機構(gòu)的嚴(yán)格認(rèn)證,能讓用戶更放心、安心、省心地使用華為云。
其次,BSIMM作為一種安全質(zhì)量標(biāo)準(zhǔn)體系,遵從之,帶來的云服務(wù)質(zhì)量提升,遠(yuǎn)比未遵從帶來的要明顯。高分通過測評,標(biāo)志著華為云軟件安全管理和技術(shù)能力已獲得國際權(quán)威認(rèn)可,中國企業(yè)在信息化、安全合規(guī)方面又一次走進(jìn)世界領(lǐng)先水平。
最后,重視用戶的數(shù)據(jù)和隱私安全,并大力投入,無論從近期還是長期來看,都會得到市場和用戶的積極反饋。
華為云最近一年都獲得了哪些權(quán)威安全認(rèn)證和測評?
為提升華為云及每個云服務(wù)的法律遵從和安全性,讓用戶獲得安全的云服務(wù)。過去一年,華為云不懈努力,獲得了各類安全合規(guī)認(rèn)證:
- BSIMM:國內(nèi)首家、獨家,評分進(jìn)入全球前三。
- PCI-DSS:滿足金融、銀行業(yè)用戶需求。
- 網(wǎng)信辦審查:國家級權(quán)威云安全審查。
- ISO 27001認(rèn)證:國際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全管理標(biāo)準(zhǔn)。
- CSA STAR認(rèn)證:該認(rèn)證是ISO 27001的增強版,要求更為嚴(yán)苛。
- 可信云:進(jìn)一步夯實了華為云在政務(wù)行業(yè)的領(lǐng)導(dǎo)者地位。
- 等保三級:滿足國內(nèi)運營需求。
“三不”承諾,保障用戶數(shù)據(jù)安全中立華為云在國內(nèi)首家提出“三不”承諾:“上不做應(yīng)用,下不碰數(shù)據(jù),不做股權(quán)投資,”確立了云服務(wù)商必須保障用戶數(shù)據(jù)安全中立的原則,并于17年9月全球發(fā)布的《華為云安全白皮書》中進(jìn)行了系統(tǒng)闡述。同時,華為云構(gòu)建了從物理、網(wǎng)絡(luò)、主機、應(yīng)用到數(shù)據(jù)的全棧防護(hù)矩陣,在用戶的安全短板上布置防護(hù),如國內(nèi)功能最全的數(shù)據(jù)庫保險柜——云數(shù)據(jù)庫安全服務(wù)、國內(nèi)首家把云加密密鑰這把“鑰匙”交給用戶的——密鑰管理服務(wù)等,從技術(shù)上實現(xiàn)“三不”。目前,“三不”承諾正遍地開花,獲得用戶高度認(rèn)可,各大云廠商也紛紛跟進(jìn),成為行業(yè)事實標(biāo)準(zhǔn)。
華為云一直重視并努力搭建云平臺的安全性,BSIMM的高分通過只是萬里長征中的一步。華為云將不斷挖掘用戶業(yè)務(wù)需求,學(xué)習(xí)業(yè)界優(yōu)秀實踐,并引入到研發(fā)流程中優(yōu)化改進(jìn),保證安全要素在研發(fā)流程中有效落地,提升產(chǎn)品健壯性,增強隱私保護(hù),為用戶提供更多、更安全的云服務(wù)和解決方案。