史上最嚴(yán)數(shù)據(jù)新規(guī)落地，出海企業(yè)應(yīng)如何應(yīng)對這把懸在頭上的“達(dá)摩克利斯之劍”？

近日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）宣布了一項(xiàng)史無前例的、極為嚴(yán)苛的數(shù)據(jù)安全規(guī)定，這一提案主要針對從事受限交易的（科技）企業(yè)，并給出了組織級(jí)別和數(shù)據(jù)級(jí)別的具體要求，例如，提案要求對所有關(guān)鍵系統(tǒng)實(shí)施多因素認(rèn)證（MFA）。在漏洞側(cè)，已知漏洞須在14天內(nèi)修補(bǔ)，關(guān)鍵漏洞在15天內(nèi)、高風(fēng)險(xiǎn)漏洞在30天內(nèi)修復(fù)「1」。

通過這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，解決現(xiàn)存的嚴(yán)重?cái)?shù)據(jù)安全漏洞。受該提案影響的企業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開發(fā)商、云服務(wù)提供商、電信公司、生物科技公司、金融機(jī)構(gòu)等。

這為本就需要披荊斬棘的中國出海企業(yè)又增加了新的風(fēng)險(xiǎn)因素。不止是美國，聯(lián)合國貿(mào)易和發(fā)展組織數(shù)據(jù)顯示，超過70%的國家制定了相關(guān)的數(shù)據(jù)隱私立法「2」，這對出海企業(yè)在合規(guī)方面提出了更高的要求和更大的挑戰(zhàn)，他們除了需要在技術(shù)合規(guī)和數(shù)據(jù)加密層面進(jìn)行大規(guī)模投資，還需要在跨國業(yè)務(wù)管理中重新評(píng)估數(shù)據(jù)傳輸和存儲(chǔ)的安全性，以減少因政策變動(dòng)帶來的業(yè)務(wù)中斷和法律風(fēng)險(xiǎn)。

安全合規(guī)

是亞馬遜云科技的第一優(yōu)先級(jí)

亞馬遜云科技作為全球云計(jì)算的開創(chuàng)者和引領(lǐng)者，始終秉承“安全自主設(shè)計(jì)”的理念，并將“安全”作為企業(yè)的“第一優(yōu)先級(jí)”。通過制定行業(yè)領(lǐng)先的實(shí)踐、技術(shù)和控制措施，并深度融入各個(gè)層面，從物理數(shù)據(jù)中心、網(wǎng)絡(luò)設(shè)計(jì)、服務(wù)架構(gòu)，為企業(yè)的應(yīng)用程序和數(shù)據(jù)提供強(qiáng)大的安全性和數(shù)據(jù)保護(hù)。事實(shí)上，僅在過去一年，亞馬遜云科技全球拒絕了超過240億次嘗試攻擊Amazon S3的行為，阻止了近2.6萬億次嘗試發(fā)現(xiàn)Amazon EC2上漏洞的行為「3」。

而作為近80%中國出海企業(yè)的選擇，亞馬遜云科技始終致力于基于自身能力幫助出海企業(yè)修好安全合規(guī)這門“必修課”。亞馬遜云科技分三個(gè)階段采取相應(yīng)的應(yīng)對措施：

-建立云安全基礎(chǔ)設(shè)施

落實(shí)這一階段的目標(biāo)，就像為一座大廈打好地基，不論上面建筑外觀如何，地基必須堅(jiān)實(shí)可靠。亞馬遜云科技建議出海企業(yè)參考被廣泛應(yīng)用于北美地區(qū)的NIST框架（或遵循ISO 27001系列標(biāo)準(zhǔn)的130條準(zhǔn)則）建立起企業(yè)基礎(chǔ)的安全防護(hù)「4」。在建立此安全基礎(chǔ)后，亞馬遜云科技還為企業(yè)提供了全方位的云原生安全服務(wù)，覆蓋預(yù)防、檢測、響應(yīng)、修復(fù)等各個(gè)環(huán)節(jié)，企業(yè)可根據(jù)自身需求在各個(gè)安全點(diǎn)上進(jìn)行管控。此外，亞馬遜云科技還提供了安全可視化和持續(xù)監(jiān)控的工具，讓企業(yè)安全負(fù)責(zé)人能夠時(shí)刻掌握安全狀況，如安全分?jǐn)?shù)、風(fēng)險(xiǎn)評(píng)估等，使安全可視化、可持續(xù)、可監(jiān)控。

-保護(hù)核心數(shù)據(jù)資產(chǎn)

數(shù)據(jù)安全和合規(guī)性是出海安全合規(guī)中最關(guān)鍵一環(huán)。數(shù)據(jù)是驅(qū)動(dòng)創(chuàng)新的寶貴資產(chǎn)，而讓數(shù)據(jù)安全地釋放價(jià)值，已是企業(yè)的首要工作。在數(shù)據(jù)安全性方面，亞馬遜云科技將安全放在數(shù)據(jù)治理的整個(gè)生命周期中看待，通過人、機(jī)制和技術(shù)的完整閉環(huán)，來提升數(shù)據(jù)質(zhì)量和利用率，同時(shí)滿足數(shù)據(jù)安全和合規(guī)性需求。以識(shí)別和保護(hù)敏感數(shù)據(jù)和個(gè)人數(shù)據(jù)為例，Amazon Comprehend服務(wù)能夠自動(dòng)識(shí)別各類個(gè)人數(shù)據(jù)，對該數(shù)據(jù)進(jìn)行匿名化處理，從而最大限度減少個(gè)人數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

在數(shù)據(jù)合規(guī)性方面，亞馬遜云科技支持143項(xiàng)安全標(biāo)準(zhǔn)和合規(guī)性認(rèn)證，包括PCI-DSS、HIPAA或HITECH、FedRAMP、GDPR、FIPS 140-2和NIST 800-171，以幫助客戶滿足全球各地的合規(guī)要求，對于亞馬遜云科技的合規(guī)標(biāo)準(zhǔn)，運(yùn)用亞馬遜云科技技術(shù)的客戶可以直接繼承，免掉了諸多合規(guī)成本和溝通成本。

-培養(yǎng)安全人才

出海企業(yè)在創(chuàng)業(yè)初期往往無法擁有資深的安全團(tuán)隊(duì)，但合規(guī)要求強(qiáng)制企業(yè)必須配備相應(yīng)的安全人員。為此，亞馬遜云科技推出了相關(guān)安全項(xiàng)目，通過實(shí)訓(xùn)的方式，快速提升企業(yè)內(nèi)部人員的安全能力，讓他們能夠承擔(dān)起一定的安全職責(zé)。

無論任何產(chǎn)品或技術(shù)，亞馬遜云科技始終堅(jiān)持的原則是“只做客戶需要的產(chǎn)品”，而任何產(chǎn)品，亞馬遜云科技都會(huì)將安全置于第一優(yōu)先級(jí)。對于出海企業(yè)來說，安全合規(guī)就像大海上莫測的天氣，當(dāng)外界環(huán)境不可預(yù)測時(shí)，最好的辦法就是依托于一個(gè)大體量、安全的船體之上，亞馬遜云科技就是這樣的船體，幫助企業(yè)無懼風(fēng)浪、順暢開展全球業(yè)務(wù)。

數(shù)據(jù)來源：

【1】：https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf

【2】：https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

【3】：https://mp.weixin.qq.com/s/aOFyZHhUxXUwuADXi9WWVg

【4】：https://baijiahao.baidu.com/s?id=1802210464830410667&wfr=spider&for=pc