阿里雲作為全球性的雲端運算服務提供者,始終堅持在安全合規領域進行持續投入,以國內外安全合規標準與要求為基礎,不斷強化雲平台的安全防護能力。
安全合規認證資訊
阿里雲Realtime Compute積極踐行產品品質、技術服務、穩定性、安全、合規等方面的內外部標準,在雲平台中開展第三方權威機構測評與驗證,並希望通過這些安全合規資質認證結果,為雲上客戶及組織高效滿足所在地區和相關行業的安全合規要求提供有力支援。 以下為涵蓋本產品的主要安全合規資質:
如果您關注認證/報告的詳細資料,請下載並參閱具體的認證/報告內容。
資質認證 | 說明 |
定義了 IT 服務管理系統的開發、實施、監控、維護和改進的要求,覆蓋服務等級管理、事件與問題管理、變更管理、可用性管理、關係管理、配置與發行管理等內容。阿里雲通過該認證旨在確保提供的技術服務及支援能夠滿足業務需求,並通過標準化流程提高服務品質、客戶滿意度以及營運效率。 | |
核心原則是以客戶為中心,強調識別、管理和最佳化關鍵商務程序,提高效率和有效性,涵蓋了從確認需求、設計、研發、測試、銷售到交付前全過程的策劃、實施、監控、糾正與改進活動。阿里雲通過該認證旨在建立系統化、標準化的產品與服務品質管理流程,以及持續改進的方式,保證產品的全生命週期管理符合要求,減少缺陷和錯誤,提高客戶滿意度。 | |
國際上廣泛認可的通用資訊安全管理架構之一,協助企業設計並實施一套涵蓋安全性群組織、人員安全、物理安全、安全技術的管理體系及控制措施,阿里雲通過該認證旨在有效管理物理安全、網路安全、應用安全、資料安全、供應安全風險,保護資訊資產,提高業務的安全性和合規性。 | |
提供了建立、實施、維護和持續改進商務持續性管理體系的管理架構,以應對中斷事件並確保關鍵業務功能在危機中能夠迅速恢複。阿里雲通過該認證旨在運用系統化的方法識別潛在威脅,制定預防和響應措施,並完善應對技術故障、網路攻擊或其他事件的方案,在突發事件中快速恢複關鍵業務能力,通過有效商務持續性管理,踐行對客戶和利益相關者的責任。 | |
為雲端服務的安全管理提供了一套系統化的架構,基於 ISO/IEC 27001 資訊安全管理體系和 ISO/IEC 27002 資訊安全控制實踐指南,向雲端服務供應商和雲端服務使用者提供了額外的控制措施和指南。阿里雲通過該認證旨在增強雲環境特有的控制措施,如虛擬機器安全、資料隔離、雲端服務終止後的資料保護等,在雲環境中有效管理資訊安全風險。 | |
CSA STAR 是由雲安全聯盟推出的全球性雲安全認證和評估計劃,結合了 ISO/IEC 27001 資訊安全管理體系標準和 CSA 的雲控制矩陣,為雲端服務供應商和雲端服務使用者提供透明、可信的雲安全評估架構。阿里雲通過該認證旨在從基礎設施安全、網路安全、應用安全、資料安全、隱私保護、合規性、風險管理等多個領域對雲產品與服務進行安全性和合規性評估、改進與認證。 | |
ISO 27701是對ISO 27001資訊安全管理和ISO 27002安全控制的隱私擴充,將隱私保護的原則、理念和方法融入到資訊安全保護體系中,涵蓋隱私風險管理、主體權利保障、共用與傳輸、隱私設計、透明性要求、事件響應與處置等要求。阿里雲通過該認證旨在建立、實施、維護和持續改進隱私安全管理體系與控制,不斷增強隱私資訊處理的合規性。 | |
該標準專門針對雲端服務供應商(CSP)在處理個人可識別資訊(PII)時的隱私保護要求,增強公用雲環境下的資料安全和客戶信任。阿里雲基於 ISO 27002 資訊安全控制實踐指南,實施了一套額外的個人資訊保護控制措施,強調最小必要、使用者控制權和資料主體同意等,在處理客戶PII時嚴格遵守隱私保護原則。 | |
為個人資訊管理體系提供了一個參考歐盟GDPR原則的最佳實務架構,是實現隱私保護目標的重要工具,協助組織在個人資訊的收集、儲存、處理、共用和銷毀等全生命週期中實施合規和可靠的管理措施。阿里雲通過該認證旨在建立標準化的管理體系,減少資料泄露、濫用的風險,對於提升隱私管理水平、增強客戶信任和滿足合規要求具有重要意義。 | |
是針對合規管理體系的認證標準,通過識別和評估合規風險,建立、實施、維護和改進合規管理體系與流程,以確保組織在營運過程中遵守適用的法律法規、行業標準和內部政策。阿里雲通過該認證旨在提高內部合規管理效率和透明度,形成合規文化,增強內外部相關方對合規工作的高度重視與參與。 | |
PCI DSS 支付卡行業資料安全標準 (Payment Card Industry Data Security Standard),由 PCI SSC (支付卡產業安全標準委員會)開發並維護,針對保護賬戶資料的技術和操作要求提供了統一的基準以及具體管控要求,包含安全管理體系、網路安全、物理安全、資料加密等多個方面。阿里雲以雲端服務供應商的角色,主動踐行行業標準,在資料環境中積極承擔雲平台側的安全責任,並通過雲產品與服務協助客戶構建安全的雲上資料環境。 | |
國家實行網路安全等級保護制度,網路營運者應當按照網路安全等級保護制度的要求,履行安全保護義務,保障網路免受幹擾、破壞或者未經授權的訪問,防止網路資料泄露或者被竊取、篡改。阿里雲堅持突出重點、主動防禦、綜合防控的原則,建立健全網路安全防護體系,每年由第三方權威機構對阿里雲公用雲的基礎服務平台(IaaS)、資料及開發服務平台(PaaS)、應用服務平台(SaaS)進行網路安全等級保護測評,開展安全建設與整改,落實安全責任,滿足國家網路安全保護要求。 | |
可信雲評估是我國針對雲端運算服務和軟體的專業評估體系,由中國資訊通訊研究院組織實施,核心目標是建立雲端服務商的評估體系,為使用者選擇安全、可信的雲端服務商提供支撐,提升服務品質和誠信水平。阿里雲通過雲端服務使用者資料保護能力驗證,從事前防範、事中保護、事後追溯三個階段,符合資料持久性、資料私密性、資料移轉安全性、入侵防範、服務可審查性等評估要求。 | |
可信雲評估是我國針對雲端運算服務和軟體的專業評估體系,由中國資訊通訊研究院組織實施,阿里雲通過雲端運算安全責任共擔能力驗證,在《雲端運算安全責任共擔能力要求》標準的基礎上,符合責任分配模型、安全能力支撐、服務合約透明度等維度測評。 | |
SOC(System and Organzation Controls)報告是一系列由美國註冊會計師協會(AICPA)制定的審計標準,旨在評估服務組織(如雲端服務供應商、資料中心和IT服務公司)的控制措施有效性。阿里雲SOC報告是由獨立第三方審計師出具的獨立審計報告,向客戶及其審計師詳細說明了阿里雲內部控制機制的有效性。SOC報告分為三種類型:
|