华为云受邀参加CSA亚太峰会，共话数字化时代的云安全治理

5月10日，由云安全联盟 (CSA)组织的亚太峰会在新加坡举行，大会以“云安全就是网络安全”为主题，邀请了政府、行业领先的组织代表和专家共同探讨当今云安全和网络安全面临的关键问题和趋势，共话数字化时代安全解决方案。华为云安全治理团队资深专家在会上发表了《应对当今云治理挑战的观点》主题演讲，分享了华为云在安全治理方面的最新实践成果。

伴随着云计算的飞速发展，全球网络安全监管也愈加严格，云服务提供商和客户皆需加强自身安全能力建设，满足监管及多项行业标准要求。但单独的某一标准的安全管理框架难以满足治理需求，企业仍面临着“安全合规要求多，重复执行难维护”、“安全治理效率低，事后整改成本高”、“治理过程不可视，治理效果难评价”等问题。

为了在企业内有效牵引网络安全及隐私保护的管理建设和应对以上存在的问题，华为云参照多项国际主流安全标准建立了网络安全及隐私保护的管理体系，结合华为三十多年安全治理的经验和实践，形成了适用于云领域的网络安全与合规标准(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD，简称“3CS”）。基于3CS体系，华为云安全已高效通过了120+个权威组织认证。

华为云“3CS” 体系集业界主流安全标准要求于一身的控制合集，满足更高安全治理需求

“3CS”体系的基础理念是基于云服务各业务模块的流程，划分相对应的安全控制领域，使安全控制要求得以嵌入到云服务管理流程中，同步确保安全管理责任清晰明确、可度量、可追溯，从而实现全面有效的安全治理。

华为云“3CS”体系明确责任划分，有效推动各领域落实安全隐私管控机制

为推动“3CS”体系的有效落地，体系中对各部门的责任进行了明确划分，对每条控制要求均制定了具体的审核指南，同时采用自动化工具对操作行为进行跟踪管理，对所有审核记录保留完整证据链，对管理效果制定了可度量方法和指标。并提出5要素的落地方法，包括从组织、政策、流程、工具和度量，每个安全管控点需要围绕5要素进行落实，从而确保整个3CS体系能够在企业有效落地并持续推进。

华为云“3CS”体系经过内部实践验证，有效降低安全治理成本

目前“3CS”已经在华为云内部成功落地实施并取得优秀成果，并已成功应用于新加坡金融上云安全合规解决方案。依据“3CS”的控制要求，华为云对云服务各流程领域执行了对应的控制措施，在各部门进行了安全控制的强化，各部门及产品线的安全能力都有显著提升，有效降低安全治理成本。

对于云服务提供商来说，“3CS”体系可帮助其建立覆盖云计算服务所有流程的云安全治理体系，从而更好地为客户提供安全可信的云计算服务，增强客户信任；云服务客户则可参考3CS治理体系来提高自身的云安全管理能力，同时可借助华为云提供的20+自研安全服务、400+伙伴安全服务，满足保护云工作负载、保护应用服务、保护数据资产、管理安全态势和合规上云等需求，构建立体的云安全防护能力。

面向未来的云安全治理，各服务提供商可从统一合规库和产品API化的角度出发，从“依赖专家经验解读、人拉肩扛&事后审计、实施过程不可视、需安全团队推动”的现状改变为“策略生成智能化、问题纠正自动化、效果实时可评价、融入业务主导”的云安全框架治理，共同构建适用于企业自身的安全治理体系。