五大國內外權威SaaS安全認證盤點

Forrester Research研究分析表明，“安全問題是阻止企業選擇SaaS的首要原因”。相比國外差不多同一時間興起卻已誕生Box、 Salesforce、Slack等眾多巨頭的SaaS行業，國內SaaS的發展始終步履遲緩，而技術水平、市場需求的差距並不懸殊。國內企業用戶的安全顧慮的確阻礙了SaaS行業尤其是企業網盤等涉及到企業用戶數據存儲和流通的垂直領域發展。

“信息泄露”、“數據損壞”、“黑客攻擊”等消息讓企業用戶對雲服務信息安全問題顧慮重重。一方面缺乏行業統一安全標準指導，另一方面不具備專業的安全技術知識，國內的企業用戶在選擇SaaS服務時難免困惑和無助。

隨著國內企業對於企業服務軟件的需求增長，以及對SaaS模式相對傳統軟件優勢的認可，國內外權威的第三方安全認證在企業選擇SaaS服務過程中扮演著越來越重要的角色。

安全港協議

國際上較為知名的安全港協議（Safe Harbor）是2000年12月美國商業部跟歐洲聯盟建立的協議。安全港協議要求收集個人數據的企業必須通知個人其數據被收集，並告知他們將對數據所進行的處理，企業必須得到允許才能把信息傳遞給第三方，必須允許個人訪問被收集的數據，並保證數據的真實性和安全性以及采取措施保證這些條款得到遵從。

安全港協議的影響力主要在歐美地區，Salesforce早年便獲得歐盟安全港標志的認證許可，同時遵循美國 - 歐盟和美國 - 瑞士的安全港框架，Workday也同樣獲得了安全港認證。

國際ISO安全資質

信息安全管理要求ISO/IEC27001，其前身為英國的BS7799標準，該標準由英國標準協會（BSI）於1995年2月提出，並於1995年5月修訂而成的。分為兩個部分：第一部分信息安全管理實施規則，對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分信息安全管理體系規範，說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。要獲得ISO27001，還需要先通過ISO20000（信息技術服務管理體系標準）。

ISO/IEC27001是在中國市場知名度最高的國際信息安全認證，據傳Workday就專門申請ISO27001信息安全認證，為開拓中國市場提前鋪路。國內的釘釘、億方雲等SaaS廠商也已通過ISO20000和ISO27001雙認證。

C-STAR

廣州賽寶認證中心服務有限公司（下稱“賽寶”）與國際雲安全聯盟（Cloud Security Alliance，下稱“CSA”）合作推出的國內首個全球認可的雲安全評估服務，於2015年6月15日發布。C-STAR的發布代表著。 C-STAR采用雲計算安全的行業黃金標準—-CSA發布的雲控制矩陣(Cloud Control Matrix)，評估過程采用國際先進的成熟度等級評價模型，同時結合國內相關法律法規和標準要求，對雲計算服務進行全方位的安全評價。

由於C-STAR誕生較晚，目前僅北森等少數SaaS廠商通過該認證。

可信雲服務認證

可信雲服務認證是由數據中心聯盟組織，中國信息通信研究院(工信部電信研究院)測試評估的面向雲計算服務的評估認證。數據中心聯盟是由工信部通信發展司指導，中國信息通信研究院(原工信部電信研究院)聯合國內外互聯網企業、電信運營商、軟硬件制造商等單位共同發起組建的。可信雲服務認證的核心目標是建立雲服務的評估體系，為用戶選擇可信、安全的雲服務提供支撐。通過16+2項多維度測評，可信雲將從數據安全、服務質量、服務性能、運維管理和權益保障等多維度透析雲服務。

目前，可信雲是本土最具公信力的主流雲服務安全認證之一，2014年起開始第一批認證以雲主機廠商為主，近年來包括億方雲、聯想企業網盤這類文件存儲在線應用的SaaS廠商也參與並通過認證。

信息安全等級保護

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。中國的信息安全等級保護共有5級，要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關聯關系，共同作用於信息系統的安全功能。

此前，申請信息安全等級保護的多為對信息安全最為敏感的P2P等互聯網金融企業，但隨著SaaS行業尤其是雲存儲領域的廠商對數據安全的重視程度日益提高，已有更多廠商開始著手申請“等保”。

除了以上幾大權威的國內外SaaS服務安全認證，可以作為企業用戶選擇SaaS產品和服務的安全參考依據，還有ITSS（IT服務成熟度模型）、CMMI（軟件開發成熟度模型）等相關認證也可以作為綜合評估參照。