五大国内外权威SaaS安全认证盘点

Forrester Research研究分析表明，“安全问题是阻止企业选择SaaS的首要原因”。相比国外差不多同一时间兴起却已诞生Box、 Salesforce、Slack等众多巨头的SaaS行业，国内SaaS的发展始终步履迟缓，而技术水平、市场需求的差距并不悬殊。国内企业用户的安全顾虑的确阻碍了SaaS行业尤其是企业网盘等涉及到企业用户数据存储和流通的垂直领域发展。

“信息泄露”、“数据损坏”、“黑客攻击”等消息让企业用户对云服务信息安全问题顾虑重重。一方面缺乏行业统一安全标准指导，另一方面不具备专业的安全技术知识，国内的企业用户在选择SaaS服务时难免困惑和无助。

随着国内企业对于企业服务软件的需求增长，以及对SaaS模式相对传统软件优势的认可，国内外权威的第三方安全认证在企业选择SaaS服务过程中扮演着越来越重要的角色。

安全港协议

国际上较为知名的安全港协议（Safe Harbor）是2000年12月美国商业部跟欧洲联盟建立的协议。安全港协议要求收集个人数据的企业必须通知个人其数据被收集，并告知他们将对数据所进行的处理，企业必须得到允许才能把信息传递给第三方，必须允许个人访问被收集的数据，并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。

安全港协议的影响力主要在欧美地区，Salesforce早年便获得欧盟安全港标志的认证许可，同时遵循美国 - 欧盟和美国 - 瑞士的安全港框架，Workday也同样获得了安全港认证。

国际ISO安全资质

信息安全管理要求ISO/IEC27001，其前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。分为两个部分：第一部分信息安全管理实施规则，对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分信息安全管理体系规范，说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。要获得ISO27001，还需要先通过ISO20000（信息技术服务管理体系标准）。

ISO/IEC27001是在中国市场知名度最高的国际信息安全认证，据传Workday就专门申请ISO27001信息安全认证，为开拓中国市场提前铺路。国内的钉钉、亿方云等SaaS厂商也已通过ISO20000和ISO27001双认证。

C-STAR

广州赛宝认证中心服务有限公司（下称“赛宝”）与国际云安全联盟（Cloud Security Alliance，下称“CSA”）合作推出的国内首个全球认可的云安全评估服务，于2015年6月15日发布。C-STAR的发布代表着。 C-STAR采用云计算安全的行业黄金标准—-CSA发布的云控制矩阵(Cloud Control Matrix)，评估过程采用国际先进的成熟度等级评价模型，同时结合国内相关法律法规和标准要求，对云计算服务进行全方位的安全评价。

由于C-STAR诞生较晚，目前仅北森等少数SaaS厂商通过该认证。

可信云服务认证

可信云服务认证是由数据中心联盟组织，中国信息通信研究院(工信部电信研究院)测试评估的面向云计算服务的评估认证。数据中心联盟是由工信部通信发展司指导，中国信息通信研究院(原工信部电信研究院)联合国内外互联网企业、电信运营商、软硬件制造商等单位共同发起组建的。可信云服务认证的核心目标是建立云服务的评估体系，为用户选择可信、安全的云服务提供支撑。通过16+2项多维度测评，可信云将从数据安全、服务质量、服务性能、运维管理和权益保障等多维度透析云服务。

目前，可信云是本土最具公信力的主流云服务安全认证之一，2014年起开始第一批认证以云主机厂商为主，近年来包括亿方云、联想企业网盘这类文件存储在线应用的SaaS厂商也参与并通过认证。

信息安全等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。中国的信息安全等级保护共有5级，要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能。

此前，申请信息安全等级保护的多为对信息安全最为敏感的P2P等互联网金融企业，但随着SaaS行业尤其是云存储领域的厂商对数据安全的重视程度日益提高，已有更多厂商开始着手申请“等保”。

除了以上几大权威的国内外SaaS服务安全认证，可以作为企业用户选择SaaS产品和服务的安全参考依据，还有ITSS（IT服务成熟度模型）、CMMI（软件开发成熟度模型）等相关认证也可以作为综合评估参照。