阿里巴巴獲全國首張集團化電子商務領域ISO27001安全認證證書！

來源：IPRdaily中文網（IPRdaily.cn）

原標題：阿里巴巴獲全國首張集團化電子商務領域ISO27001安全認證證書！

自2017年6月《網絡安全法》頒布實施以來，信息安全、個人信息保護等話題被公眾熱議。作為新型經濟體，阿里巴巴集團如何做信息管理、數據安全等尤為矚目。經權威認證機構DET NORSKE VERITAS挪威船級社（下稱“DNV”）認證，去年底成功獲得ISO/IEC 27001：2013國際信息管理體系認證，2018年2月7日，認證頒證儀式在杭州阿里巴巴西溪園區舉行。

2月7日，DNVGL管理服務集團大中國區副總裁兼營銷總經理陳立為阿里巴巴集團頒發中國首張集團化電子商務領域ISO27001安全認證證書

據悉ISO/IEC 27001標準一直被公認為全球最權威、最嚴格，也是最被廣泛接受和應用的信息安全領域的體系認證標準，不僅對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；而且建立、實施和文件化信息安全管理體系（ISMS）的要求，規定根據獨立組織的需要應實施安全控制的要求。

此次阿里巴巴集團ISO27001認證覆蓋旗下B2B（ICBU、AE）、B2C（天貓國際）、信息平臺事業部、安全部、大文娛（優土）等事業群，在此之前釘釘、菜鳥、AIS事業群、御膳房等多個事業群已獲得獨立認證。

這也是國內企業在集團化電子商務領域獲得的第一張證書，也意味著阿里巴巴在信息安全管理領域已實現國際標準認證，信息安全保障體系進一步升級。

阿里已建立一套對標國際的安全管理體系

阿里巴巴集團首席風險官鄭俊芳在發言中指出，阿里巴巴通過ISO 27001認證，更能體現阿里的企業社會責任對安全的承諾，表明阿里的安全已經建立起一套與國際同行對標的安全管理體系，能夠為用戶提供可信安全的電商服務。

“但我們仍要清醒地認識到認證不是我們的最終目的，更重要的是借此契機學習業內成熟的經驗，結合阿里作為互聯網大平臺的實踐，提煉出真正適應DT時代要求的安全打法與體系，賦能電商生態，最終達到提升整個電商生態安全水位的效果?！编嵖》紡娬{。

阿里巴巴安全部資深總監張玉東則表示，阿里是一家數據公司，數據保護是我們的立足之本?！氨Ｗo數據的機密性、完整性和可用性，在阿里內部是通過技術、管理手段保護來共同實現的?！?/p>

針對目前政府監管層對網絡運營者的要求和國際化趨勢下對信息安全的要求，阿里巴巴集團建立了“決策-監督-執行”的三級安全組織，向上主動對接、中臺提供管理服務和技術能力、各業務單元落地執行；開展全員的安全意識培訓，提升員工安全意識，并儲備安全人才。

張玉東指出，此次ISO27001標準信息安全管理體系建立共歷時8個月，深度介入阿里安全部、阿里基礎設施事業群、信息平臺以及業務單元30余名核心人員，內外部投入工時700余人／天，通過在安全策略和安全組織、安全運行、技術以及基礎架構支持等方面的調整和改進，從組織、業務流程和技術層面建立有效、可持續運營、符合業界標準的管理措施和解決方案，有效管理風險，確保主要信息系統安全風險持續達到安全可控的水平。

 “通過安全認證意味擔負的責任更大”

圖說：阿里巴巴集團首席風險官鄭俊芳在頒證儀式上表示，阿里巴巴在電子商務領域獲得國內第一張集團級別ISO 27001認證的證書具有典范意義，未來還將從多個方面發揮這套體系的價值。

中國信息通信研究院的數據顯示，全球安全產業規模從 2016 年至 2019 年有望保持超過 8%的增長速率；中國信息安全市場將保持快速增長，預計到 2020年將達447.7億元，年復合增長率20.6%。

這與近年來信息安全需求的提升、國家政策支持、信息安全標準化推進以及信息技術不斷發展革新等因素關聯密切，而未來信息安全的立體化防護、內外兼顧也成為大勢所趨。

此次阿里巴巴通過ISO 27001認證，不僅要保障公司內部信息安全，也要保障客戶、商戶的信息安全。

鄭俊芳在發言中指出，阿里巴巴在電子商務領域獲得國內首張集團化ISO 27001認證的證書具有典范意義，未來還將從幾個方面發揮這套體系的價值。

首先，要確保從技術底層開始，通過管理和技術手段保護用戶的交易信息、客戶信息、商戶信息及交易認證等敏感數據和服務免受外部威脅的影響，強化交易過程中的安全?！半S著我們近幾年繼續發力拓展海外市場，我們需要一個國際通用的標準來證明，要告訴海外用戶，阿里的安全保障能力已經達到足夠高的水準，是用戶值得信任的電子商務平臺?！编嵖》贾赋?。

“阿里也確實正在通過多方面努力，希望將在信息安全管理方面的經驗沉淀分享給生態伙伴，能夠真正給需要幫助的電商生態伙伴提供切實有效的幫助，從而建立起電商生態行業更加安全有效的管理體系，我們一直在實踐?！鞍⒗锇桶图瘓F安全部安全專家馬余靜介紹說，比如2016年阿里巴巴就發起了“電子商務生態安全聯盟” 旨在提高電子商務生態參與者整體的安全能力。

當前聯盟成員單位已吸納了行業中不少的領軍企業，包括電商平臺、服務商、物流、商家、安全公司、安全培訓機構等。電商行業內的很多服務、標準、風險動態、最佳實踐等都會通過這個組織進行同步和落地。后續也會繼續吸納更多希望為電商生態提供安全力量的機構服務電商生態。

同時為了把多年積累的安全能力通過產品和工具賦能給生態內伙伴，阿里安全還推出了“御城河”產品，它基于阿里強大的數據分析能力，協助服務商、商家、物流等生態合作伙伴及時發現預警、感知風險并提供處置能力，保障核心數據安全。在信息安全保護的其他方面，阿里也有不少類似“御城河”這樣的工具在為電商生態伙伴提供服務。

基于此次頒獎儀式，IPRdaily駐杭州記者采訪了阿里巴巴集團-安全部技術平臺業務負責人張玉東先生，了解一下阿里巴巴集團以ISO27001認證標準為藍本，搭建符合業界標準的信息安全管理體系這一過程。以下為采訪原文：

IPRdaily：請問此次阿里集團獲得的國內外通行ISO27001信息安全認證，對內和對外有哪些重要影響和意義？

答：對內規范管理體系，規范安全管理的體系運行，明確安全策略，制度規范，指南和度量指標，系統的整體的來看安全管理，建立持續改進的初始基線量化和指導安全管理的決策和方向。對外對標行業標準，與行業內保持統一對話頻道，建立相互信任的基礎。

IPRdaily：據了解ISO27001標準包含了十多個種類的章節，結合您在阿里巴巴集團自身經驗，請問您怎么看待“資產管理”對企業的重要性？

  
答：安全管理的目標就在保護企業和他的信息資產，確保風險始終處于可接受的水平。其中里面技術的風險是實實在在落在企業的物理資產或者數據的資產之上的，安全管理的風險的評估、處置等是基于資產的價值和重要性來決定的，因此資產管理就成為企業中IT風險管理的基礎，如果資產的識別，價值的判斷，資產的相關性和權屬這些基本的信息不能進行準確的驗證和管理，那么整個安全管理都會成為無本之木，無法在合理的成本和效率之下取得預期的管理效果。

IPRdaily：就上述的“標準分類章節”中的內容有涉及到安全策略、訪問控制、通信和操作管理等等元素，是否有哪些方面是安全部門還有待加強的？

答：首先安全管理不是個一次性的行為，是一個持續改進的動態過程，也就是說在不斷的加強和改進中，在每個控制點上我們或者在努力提高管控的效果，或者在提升管理的效率，不然就是在想辦法降低管理的成本和對業務的影響，安全部門一直在努力探求有效的管理安全風險和較小的影響業務之間的平衡，我們也一直跟蹤各種新技術、新方法、新理念在安全管理中的應用。

IPRdaily：為了搭建符合“ISO27001認證標準”的信息安全管理體系工作，集團有哪些部門參與這一工作？這個過程中是否有什么困難？

答：知識產權、法務部門對于安全管理來講是非常重要的，在認證過程中我們需要梳理出阿里業務在法律和法規層面必須要滿足的要求，例如《網絡安全法》《通用數據保護要求GDPR》等，知識產權保護要求，隱私保護要求等，這些法律法規規定的企業在安全和保護上的職責都是安全管理必須承擔責任和義務，這些要求也會逐步通過我們的內部規范，管理流程和技術手段切實的落實在執行之中。比如在軟件的開發過程中，把對個人信息的采集和處理要求落實在代碼層面，在日常運維過程中把安全事件響應，漏洞通報同步機制等要求落實到工具、流程和人。

IPRdaily：這次的標準認證的通過對于阿里集團旗下的國內外電商平臺上的入駐品牌權利人有何重要意義？
 

答：對于電商平臺上入駐的品牌權利人來說，阿里平臺是他們業務開展的重要平臺，平臺的安全需要的到保護，并且通過阿里平臺購買其產品的顧客也是品牌的客戶，這些顧客的信息同樣需要受到保護，對于品牌權利人來說他們需要確保阿里這個平臺不僅提供了更多的客戶，同樣也為雙方的平臺和客戶提供了相應的安全保護，在法律義務上盡到了應盡的責任。通過ISO27001，可以說集團安全在保護品牌權利人入駐的平臺和品牌的客戶方面，已經符合和達到了國際上廣泛認可的安全管理的體系要求，當然我們的目標不止于此，但這是我們起步的開始。

來源：IPRdaily中文網（IPRdaily.cn）

編輯：IPRdaily趙珍          校對：IPRdaily縱橫君

推薦閱讀

2017全球區塊鏈企業專利排行榜（前100名）

2017年企業發明授權專利排行榜（前100名）

“投稿”請投郵箱“iprdaily@163.com”

「關于IPRdaily」

IPRdaily成立于2014年，是全球影響力的知識產權媒體+產業服務平臺，致力于連接全球知識產權人，用戶匯聚了中國、美國、德國、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個國家和地區的高科技公司、成長型科技企業IP高管、研發人員、法務、政府機構、律所、事務所、科研院校等全球近50多萬產業用戶（國內25萬+海外30萬）；同時擁有近百萬條高質量的技術資源+專利資源，通過媒體構建全球知識產權資產信息第一入口。2016年獲啟賦資本領投和天使匯跟投的Pre-A輪融資。

（英文官網：iprdaily.com  中文官網：iprdaily.cn） 

本文來自IPRdaily.cn 中文網并經IPRdaily.cn中文網編輯。轉載此文章須經權利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場，如若轉載，請注明出處：“http://m.tyccp663.com/”