华为云发布“3CS 2.0” 安全治理框架，助力企业提升安全治理能力

7月21日，华为云在2022可信云大会展示了整体云安全能力，并分享了在安全治理方面的实践经验与成果，同时正式发布更具落地性的3CS 2.0云安全治理框架，帮助云服务提供商、云客户、云生态伙伴更好地实践云安全治理，快速提升安全治理能力。

    去年，华为云发布了《云安全治理白皮书》，正式推出3CS 1.0，即云服务网络安全与合规标准(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD，简称“3CS”)。3CS框架参考多套主流安全管理标准，博采所长，融入华为三十年安全管理经验和技术积累，与云服务各业务流程紧密结合，可审核、可追溯、可度量，实现全面有效的安全治理。在3CS 1.0推出后，服务受到了不同行业企业和云客户的积极反响和认可。

如今，云计算、物联网、区块链、量子计算等新技术的流行和应用，云用户使用多供应商的需求突出，使得云生态更加复杂多样，加上云安全威胁动态变化无常，给云服务供应商、云用户、生态伙伴的安全治理与合规带来更大的挑战。在此背景下，为了更好地落地实施高标准的云安全治理，华为云在3CS1.0的基础上对云安全治理进行了升级，推出了3CS 2.0 云安全治理框架。

3CS 2.0框架具备以下核心亮点：

1. 覆盖更广范围，适用更多行业场景

华为云在3CS1.0的基础上拓展了框架对标准的覆盖范围，如增加对安全开发软件程序和框架的标准、个人健康信息保护安全标准和数据安全等国际标准的覆盖，形成了更加丰富、应对动态变化、良好适用于不同行业的云安全治理框架。

2. 优化数据安全和隐私保护领域控制细粒度，灵活应对趋势变化

各国对数据、隐私保护愈发重视，3CS 2.0将数据安全和隐私保护优化为一级控制域，并对控制要求进行扩充和细化，使云安全治理框架更好应对趋势变化和更具实践性。

3. 5大关键手段高效推动安全治理落地

3CS 2.0对原框架进行了优化，全面总结了5大关键手段，从政策、流程、责任体系、IT/工具、度量五个方面保障安全治理体系的落地，推动各领域落实安全管控机制，形成了可持续运行、更具落地性的云安全治理框架。

在数据安全和隐私保护领域，数据安全已成为云用户和行业内日益重视的关注点，也是安全治理的核心控制域之一。华为云通过5大关键手段实施控制措施，保护数据安全，实现平台数据安全可靠、客户数据自主可控、数据处理透明可视，将数据安全服务打造成华为云的核心竞争力之一。

企业落地3CS 2.0三大关键步骤

1. 进行框架适配

企业可从自身所处公司整体的战略目标、业务发展需要、行业特性入手，结合客户期望，识别公司需满足的安全治理需求。依据适用的安全要求，对3CS框架的领域进行选择、调整适配，形成公司自己的安全治理体系框架。进一步依据适配的领域，对控制要求逐步分解细化，建立公司业务所需的、定制化的安全治理控制要求库。

2. 落地五大关键手段

公司通过优化制度、完善组织、将安全治理要求融入业务流程、利用技术工具和建立度量指标五大方面推动安全治理管控落地。

3. 进行治理成效验证和持续改进

企业通过业务自检、内部稽核、指标度量和成熟度评估的方式对安全治理工作效果进行验证，并持续改进。

云服务客户可参考3CS落地方法提升自身的云安全管理能力，同时也可借助华为云提供的20+安全服务、300+伙伴安全服务，保护云上数据资产、构建立体的云安全防护能力。目前“3CS 2.0”已在华为云内部成功落地实施并取得优秀成果。依据“3CS 2.0”的控制要求，华为云在各部门进行了安全控制的强化，各部门及产品线的安全能力都得到进一步的提升。

在强化安全能力的同时，华为云已通过多个国家机构及国际权威机构的审计及评估，确保华为云的安全能力是可验证和可信赖的。目前，华为云已累计获得110+安全合规认证，并发布40+安全遵从性白皮书，满足全球客户业务合规和可适用的隐私保护要求，为客户云上业务安全保驾护航。