细说云计算领域的ISO标准

科技云报道原创。
“在信息化大数据时代,出现了诸如云安全、数据治理、个人隐私保护等一系列亟待解决的企业管理难题,那么是否有相应的国际化标准与服务呢?”


提到标准,大家往往想到的是依靠标准驱动的行业,比如电信行业、IT和互联网行业。从我们在浏览器里输入一个网址到页面的出现,TCP、HTTP等标准协议都在起着作用。可以说没有这些互联网标准,就没有今天的互联网。

随着IT技术的持续发展,全球性的行业标准逐渐成为一种国际共识。IT行业标准认证的导入及实施,从第三方的角度展现着IT服务商的技术实力和服务能力,从而为企业客户带来信心和信赖度,降低企业采购决策的难度。

5月10日,在2018年全球云计算大会上,科技云报道专访BSI中国区ICT技术总监万鑫博士,针对云计算和大数据行业标准制定、企业认证等问题进行了深入探讨。

BSI中国区ICT技术总监万鑫博士

“标准之源”BSI的前世今生

说起BSI(英国标准协会)这个名字,大家可能不太熟悉,但是ISO27000、ISO20000等系列标准,ICT行业从业者们绝不会陌生,因为国内绝大部分知名的云计算厂商、互联网厂商都会选择BSI的IT服务和信息安全的认证服务。

BSI成立于1901年,当时称为英国工程标准委员会。经过100多年的发展,现已成为集标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大互补性业务于一体的国际标准服务提供商,面向全球提供服务。

由于BSI在业内非常知名,所以有一个说法,即BSI是“标准之源”,甚至有很多国家是原封不动将英国标准做为国际标准进行了翻译。据万鑫博士介绍,在中国,BSI的合作也非常密切,中英双方在标准的合作上达成了互认机制,因而标准的发展前途非常广泛。

万鑫博士表示,目前BSI主要有三大业务:

第一,标准开发和推广。这些标准的开发,有的是针对产品的标准,有的是针对管理体系的标准。“现在很多国际上ISO的标准,大多数都是由BSI开发的英国标准,然后被国际标准化采纳,最典型的比如ISO90001质量管理体系,ISO14000环境管理体系,还有ISO27001信息管理体系,ISO20000 IT服务管理体系等。”

第二,认证和审核。BSI作为全球知名的认证机构,通过认证审核为企业颁发证书,成为企业商务合作中的信任背书。在中国,ICT行业占了认证审核绝大部分的市场份额,特别是信息安全、IT服务等认证服务。

第三,专业服务,比如培训服务等。企业的提升,往往是通过人员能力、企业管理架构、流程改进等方面的提升,因此BSI将标杆企业的做法标准化,通过最佳实践的方式帮助企业进行改善。

云计算标准化的探索

云计算2.0时代,随着云计算商用化的程度越来越高,云服务商能力的提升及证明的需求也越来越大,云计算作为信息领域的重要一环不断面临挑战。

万鑫博士介绍,云计算标准化分两个方向,一个是技术标准化,一个是服务标准化。从技术的角度看,包括四个方向的标准化,分别是计算虚拟化、存储格式、网络协议,API接口的标准化。目前,技术标准尚未成型,还是一个百花齐放的阶段。但是,服务标准化基本上出现了一个较为成熟的模型可以采纳。

IT服务标准化主要分为两类,一类是控制风险,实现合规,比较典型的是ISO 27000系列,关注的是信息安全的标准,如:网络通信的安全、基础设施的安全、业务连续性,基础设施保护等。目前国内已有一些大型云计算厂商进行了采纳。

另外一类是提升服务绩效,最典型的是ISO 20000,即IT服务管理体系。这个体系把IT服务分为五个步骤,分别是:IT服务的战略,IT服务的设计,IT服务的转换,IT服务的运营,IT服务的持续改进。这五个步骤是典型的企业IT服务过程,其中的关键在于企业是否有标准的服务产品包,能够对客户展示哪些服务是可以得到的,哪些服务是客户不需要的,哪些是需要付费的等等。

在IT服务标准化中,除了以上两类标准,BSI也正在探索一些新兴的方向,比如AI、数据利用等。其中,信息安全和隐私保护是一个全球性的颇有争议的话题,与此相关的标准是ISO 38500 IT治理系列。对此,万鑫举了几个典型的例子来说明BSI所认定的最佳实践。

一般来说,企业为了保护其信息不被泄漏会安装数据防泄漏的系统,这就好比家里有一个摄像头,员工的信息时刻都被监控着,对于员工来说心理是无法接受的。因此,公司在保护企业核心资产的前提下,不要去侵犯员工的信息,这点一定要达到平衡。还有一些公司使用远程协助对员工电脑进行故障处理,但这个过程必须由员工发起,向IT部门提出申请,然后IT部门才可以监控员工的系统,这种方式算是最佳实践。

再比如用户使用云服务时,企业方的服务条款不能以该服务为由,搜集超出服务范围之外的个人信息,比如用户的家庭住址、联系方式甚至一些隐私信息。对于用户来说,我们也要知道哪些信息是可以提供给企业方,哪些信息是没有必要提供的。这是一个知取所用的原则,在信息安全和隐私保护中特别重要。

万鑫博士表示:“我始终认为安全就是一个信任关系,如果企业能够公开透明,用户看到这些具体的做法就相信企业,双方达成信任关系,后期的事件处理、服务的协调就会非常明确,所以透明是最佳实践。标准化有一个很重要的特点,就是能够让企业把好的做法,通过白皮书和承诺的方式展现出来,让大家建立一个信任的关系。”

致力于企业实践的标准化

在云计算的发展过程中,企业在上云的过程中也遇到了很多困境。万鑫博士表示,BSI的工作是通过标准化在实践中指导企业,同时帮助企业客户去了解如何转型和采纳云计算。

“一个标准出现,一定是有很多实践中遇到的困境也好,实践也好,把它总结提升的。所以它不是一个人或者一个国家开发出来的。往往是由一个组织牵头,找到在行业内非常知名的一些企业,一些行业的专家,还有独立的研究机构,共同来讨论。BSI充当的就是这个中介的平台。”

针对企业的认证审核,据万鑫博士介绍,作为独立的第三方机构,BSI始终保持着严格、公开、透明的原则,其内部审核的合规流程非常严,不会在某些项目上特别偏向于某一个客户,或者特别偏向于某一个被认证的企业。

“如果一个企业通过标准化体系来提升管理,降低风险,这个时间相对比较漫长。”万鑫博士表示,在企业通过认证审核之前,需要经历一个较长的准备过程,包括:业务调研、评估现状、风险评估、风险处置、试运行、准备认证审核的书面材料等步骤,短则三个月,长则一年甚至两年的时间。

同时,BSI的审核员经过长期专业训练,有着非常深的甲方和乙方的背景,对审核员的要求非常严。“如果出现由于审核员自己的私心或者其他的利益关系,肯定在这个行业里面,至少在BSI的要求里不可以从业了,所以审核员的公正性是比较强的。”

除了公正的态度,万鑫表示BSI的专业服务也为客户带来了价值,从业务发展的层面做了大量的工作。“从这三个角度来说,客户觉得我们既有公正,又比较严格,同时又能提供专业服务,所以这就是BSI可以长久在这个行业立足的原因。”

目前中国IT技术实力百花齐放,但将会遇到各种各样的技术难点。事实上,以标准化的方式应对IT发展的挑战,有利于中国IT服务接入全球化的轨道,更有机会在国际上实现弯道超车。

【科技云报道原创】

微信公众账号:科技云报道

为您推荐