水安全管理体系认证，ISO38505数据治理安全管理体系认证

介绍

数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证，代表了数据治理安全的国际通行要求。数据治理安全是全球新兴的安全理念，包括企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。数据治理安全体系是一种动态安全体系，面向的是支持业务系统的数据，数据是可以流转、使用的、共享的，并从治理和技术两个视角看数据服务及技术生命周期，进行安全等级的划分。

ISO/-1标准定义了ISO/IEC 《组织的信息技术治理》( 以下称ISO/IEC )在数据治理中的应用，提出了数据治理的意义、原则、模型和特征，并明确了数据治理的任务、实施导则和应用，包括:

1、明确了数据治理的意义、治理主体的职责、数据治理的监督机制；

2、在ISO/IEC 的基础上，进一步明确数据治理的“E (评估)-D(指导) -M(监督)”方法论；

3、提出了数据采集、存储、报告、决策、发布、处置相关的治理任务；

4、明确如何将ISO/IEC 所定义的“责任、战略、获取、绩效、合规、人员行为”六大原则应用到数据治理中；

5、提出了ISO/IEC 治理模型的应用方法；

6、提出基于“价值、风险和约束”数据特性的治理导则；

7、提出了数据责任矩阵表及其应用方法。

ISO/-1的正式发布水安全管理体系认证，代表着由我国提出的数据治理理念和方法论在国际上已达成共识，是中国对国际标准的重要贡献。

数据治理的目标

数据治理的目标是建立标准化、集成、保护和存储公司数据的方法，职责集和流程。组织的主要目标应该是:

1、降低风险；

2、建立数据使用内部规则；

3、实施合规要求；

4、改善内部和外部沟通；

5、增加数据价值；

6、方便数据管理；

7、降低成本；

8、通过风险管理和优化来帮助确保公司的持续生存。

申请认证的基本条件

1、具有独立法人资格，公司成立3个月以上；

2、提供大数据相关项目材料：需求、设计、测试；

3、最终成果验收、功能截图等；

4、依据标准建立体系，并运行3个月以上；

5、至少进行一次内审、管理评审。

申请认证流程

1、认证中心编写体系文件初稿；

2、企业依据中心提供的资料清单，准备项目实施、运营文档；

3、识别企业认证范围涉及的数据资产，共同完成数据治理资料；

4、中心检查资料完备性，双方补充资料记录水安全管理体系认证，ISO38505数据治理安全管理体系认证，共同完成体系运行记录；

5、现场审核、不符合整改、发证。

申请认证的意义

1、高效运营；

2、从根本上解决数据质量问题；

3、规范和共享的需要；

4、风险管理的需求；

5、管理创新需要；

6、业务流程和资源配置的优化，可以提高业务管理能力；

7、避免出了问题再补漏，数据管理部门和生产部门相互推脱责任。

安全数字化管理平台，基于云计算的数字化业务系统安全工程

数字化平台已经与我们的生活紧密结合，其用户规模庞大，一旦系统出现故障，势必会造成一定生活的不便。比如疫情时代，健康码已经成为人们出门必备的条件，一旦健康码的服务平台出现故障，出行将变得寸步难行。系统安全问题成为威胁企业正常运行的重大风险，其安全稳定将变得越来越重要。

数字化时代，如果说哪些信息是最受关注的，能不能上“热搜”一定是评价的方法之一。在每天进入“热搜”的新闻中，有一类事件不仅上热搜的频率高，并且热搜的名称格式也高度统一，那就是“某某崩了”或者“某某打不开了”。这里“某某”指那些与我们生活息息相关的数字化平台，可能是购物平台，也可能是信息分享平台。人们之所以如此关注这类事件，是因为这些数字化平台已经与我们的生活紧密结合，其用户规模庞大，一旦系统出现故障，势必会一定程度上造成大家生活的不便。

系统安全问题成为威胁企业正常运行的重大风险

数字化系统给我们生活带来便利的同时，也提升了它在人们生活中的重要性，一旦系统出现故障，不仅仅会影响到业务的正常运行，也会影响到用户的日常生活和体验。因此，系统安全问题成为威胁企业正常运行的重大风险，其安全稳定将变得越来越重要。

在此背景下，一方面企业开始加大系统安全领域的投入，另一方面国家监管要求也变得越来越高。2021 年 6 月 10 日，第十三届全国人民代表大会通过了《全国人民代表大会常务委员会关于修改[中华人民共和国安全生产法]的决定》，自 2021 年 9 月 1 日实施。新安全生产法首次提出平台经济等新兴行业、领域的生产经营单位应当根据本行业、领域的特点，建立健全并落实全员安全生产责任制，加强从业人员安全生产教育和培训，履行有关安全生产义务。在工信部和应急管理部印发的《“工业互联网+安全生产”行动计划（2021-2023 年）》中，也提出了要增强工业安全生产的感知、监测、预警、处置和评估能力，加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变，提升工业生产本质安全水平。

内部风险成为威胁系统安全的主要风险之一

在影响系统稳定和安全的原因中，按照其发生的主体，可以分为外部安全和内部安全，外部安全指由于黑客攻击、木马、DDOS 攻击等原因导致的常见系统安全问题，内部安全则是由误操作、变更故障、程序缺陷、硬件故障等原因导致的系统安全问题。外部安全属于信息安全的覆盖域，目前已经相对成熟，而内部风险的控制还是薄弱环节。

通过对企业内部安全故障的原因分析可以发现，其中变更类故障导致的安全问题约占 60-70%，环境变化类故障（如流量过大）导致的问题约占约 15-25%，硬件类故障问题约占 5-15%。由此可见，由于变更风险导致的系统安全问题是威胁系统安全的主要风险之一。

传统风险控制方法难以解决内部风险带来的系统安全挑战

传统变更风险的控制是通过制度规范、宣贯、审批等方式来进行控制，由于风险控制的复杂性，通过传统方式进行风险管控存在较大挑战，主要表现在：

解决方案实践

系统故障诱因复杂，这导致单点控制很难解决问题，需要一个系统化的解决方案。第一届天猫双11，开发和运维人员需要整夜保障，随时解决出现的问题，即便这样，也会出一些意想不到的故障。2020 年双11 用户数量和销售规模与第一届相比已经不可同日而语，系统也更加复杂，但双11 大促系统保障过程却越来越流畅，保障人数也在持续降低，这背后就是一个系统化解决方案。

组织的顶层设计

组织设计是指从组织层面设置专门组织机构来负责系统稳定和安全，包括最高层安全生产委员会和各个研发部门稳定性负责人。安全生产委员会职能包括负责全局稳定性决策、安全生产规则制定、整体应急协同、安全文化培养、全局管控系统的规划与管理。当故障发生时，由相关人员负责故障应急与统筹，各研发部门稳定性负责人负责各系统风险治理和稳定性保障，在研发、运维过程中避免系统故障出现。

事前的风险预防

防患于未然是安全的最高能力。

首先，事前风险预防包括事前分析系统各个组成要素、组成要素可能面临的威胁和存在的脆弱性，并将分析结果作为安全治理输入。对于威胁，需要制定相应措施避免或减少威胁发生。对于脆弱性，需要针对性地进行巩固，比如对于经常会导致系统故障的系统变配操作，通过统一的变更平台集中管理各种变配申请，从而实现对变配操作集中管控。

其次，通过最小权限原则，限制操作人操作权限，包括操作时间限制、操作对象限制和操作范围限制。另外，每一次的变配操作，系统可以根据操作人、操作对象、操作类型等要素，计算操作过程中存在的风险，一旦发现过程中存在确定风险，则会直接阻断当前操作；如果是高风险，则会发起交叉确认流程；如果是低风险，则会直接放行。这种方式，既实现了对风险的实时管控，防止由于人为失误导致故障，同时又平衡了研发效率与安全生产间的关系。

事中的实时观测

快速发现是避免损失扩大的重要手段。首先，在系统运行过程中，通过业务指标观测、应用程序观测、云资源观测相结合的方式，能够及时发现系统存在的问题，一旦发现故障安全数字化管理平台，按照事先制定的预案，系统会通知相关人员进行处理。其次，基于大数据和人工智能算法，平台会实时预测相关指标变化趋势，将故障预警时间再次提前。

事后的快速恢复

尽管事前事中制定了详尽的方案，但是还是很难避免故障发生。一旦故障发生，如何快速进行故障恢复就是首要事情。按照故障不同类型，可以使用故障恢复手段有限流、拦截、熔断、快恢、降级、扩容、切流、重启等。不同恢复方式都需要有相应系统支持和日常演练测试。

故障恢复后，安全生产委员会还需要组织相关人员排查和分析故障原因，制定整改方案，确定故障责任人，推进和落实整改方案，防止相同故障再次发生。

业务系统安全工程

从以上的实践过程可以看出，企业很难依靠单一手段解决系统故障，而需要通过系统化的手段安全数字化管理平台，基于云计算的数字化业务系统安全工程，从顶层的组织设计、事前的风险分析和策略制定、事中的持续监测和预警、日常的演练和事后的应急响应等多方面进行控制。

在传统行业中，为了保证生产经营活动能够正常运行，国家制定了一系列的措施使生产过程在符合规定的物质条件和工作秩序下进行，从而有效消除或控制危险和有害因素，减少人身伤亡和财产损失，保障人员安全与健康、设备和设施免受损坏、环境免遭破坏。在建筑、石油化工、交通运输、航空航天等行业，安全生产已相对成熟和完备，但在互联网领域还是空白。以下图采矿业安全生产流程为例，我们可以看出安全生产的管理要求已经落实到了作业的各个过程和环节。

参考传统行业中的安全生产解决方案，同时结合阿里巴巴内部的最佳实践，我们提出了业务系统安全工程解决方案，该方案是指导业务系统防范故障的安全指南，其目标是通过预防、监测预警、应急响应等手段，减少业务系统故障，保障业务系统稳定、可用和可靠，防范由于业务系统故障导致的资产损失和用户影响。

业务系统安全工程框架

由于业务系统以及故障原因的复杂性，单纯从一个或多个点出发很难解决问题。业务系统安全工程以控制论和系统论为指导，以风险控制方法为工具，形成了自己的实施框架 ，即识别（)、预防（）、监测（）、恢复（）和改进（）五个环节。从事前、事中、事后进行风险的控制，形成闭环的反馈网络。

其中，识别包括资产分析、威胁识别、脆弱性识别等。预防则是为了避免风险发生而采取的一定的预防措施。监测是监测系统和保护措施是否在正常的运行。恢复是在故障出现时快速采取措施恢复系统的运行。改进是查找故障原因，制定改进方案，避免相同故障的再次发生。

业务系统安全工程标准

在此背景下，阿里云联合国家信通院牵头起草了《基于云计算的数字化业务安全工程标准》，该标准是国内首部聚焦于保护系统持续正常运行的行业标准。标准核心目标是保护业务系统能够持续正常运行，防范由于业务系统故障导致的资产损失和用户影响，保证系统可用、稳定和可靠。

标准规定了企业实现业务系统持续正常运行需要具备的各项能力，包括组织设计能力、风险分析与识别能力、策略与管控能力、监测与预警能力以及应急响应能力。

其中：

总结

系统安全受内部和外部双重影响，在防止企业系统受外部影响上，信息安全目前相关理论研究和产品建设已经较为完善。当前系统故障更多原因是由于企业内部问题导致，安全工程可以成为降低系统故障的体系化解决方案。

随着企业上云和用云深入，阿里云混合云安全工程为企业上好云、安全用云提供了全套解决方案， 内容包括：安全工程标准培训、企业安全工程标准评测认证（联合信通院）、安全工程产品体系（运维风控等）、业务稳定性咨询等产品与服务， 提升云上业务的安全可控。

基于云计算的数字化业务系统安全工程