机构要从事信息安全类服务，就得具备相应的资质。

安全服务方面，国测和认证中心颁发了信息安全服务类资质，包括安全工程、风险评估、安全集成、应急处理和安全运维等几大类。

一些个公司没有资质服务照做，结果发现提交的报告客户上级监管机构压根就不认，这些坑大家一定得避免，特别是一些金融机构信息系统评估服务。

等保测评方面，由各省推荐，公安部等保评估中心授权的测评机构才能从事等级保护测评工作。

等级保护的核心标准是GB/T 22239。

等级保护是一项基本国策，定级为三级和三级以上系统必须每年进行一次测评，当然三级系统有大有小，小的可能就是一个城市的政府门户网站，大的可能是拥有海量计算资源和网络节点的阿里云。

同样是三级，负责给阿里云做三级等保测评的机构投入的工作量可能是前者的好多倍。

2、机构普适类

顾名思义，这类认证可以适用于大多数企业和机构，而且这类认证大多数是国际认证。

我这里分别介绍安全类认证ISO/IEC 27001-2013和IT服务类认证ISO/IEC 20000:1-2011。

ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证，算是安全管理体系认证的开山之作，一直到今天仍是各大企业信息安全认证的首选。

如果今天有人咨询我想通过认证来提升企业信息安全能力，我的回答肯定是27001。

ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。

通过ISO27001的实施，为企业建立和执行各类安全管理措施和流程。

形象一点描述，自从上了ISO27001，员工安全意识强了，安全工作更规范了，安全问题更少了，企业变得更安全了。

ISO20000是目前最权威的认证企业IT运营和IT服务提供能力的国际标准。

它的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用。

一言以蔽之，就是告诉你一套方法，教你采用什么流程满足客户和业务的需要。

让类似某订票网发生过的员工误操作不再发生，让各类投诉处理得更快，让企业内部安全漏洞修补的效率更高，让混乱不再存在，让救火队卸甲归田，这就是ISO20000的职责所在。

如果把企业比作一辆汽车，ISO27001就是保证汽车更安全，ISO20000就是保证汽车跑得更快而且问题更少，这就是合规的力量。

阿里云在保持业务高速发展的同时，还能保证服务的安全交付，ISO27001功不可没。

如何确保云计算业务在跑得稳的同时，还能更快更高效，这也是最近阿里云一举通过ISO20000认证的原因所在。

3、行业增强类

这类认证是针对特定行业的安全认证，像支付卡行业的国际安全认证PCI-DSS标准，国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性，比如支付宝。

而有关云安全的认证也是越来越受到关注和重视，云安全认证首推CSA STAR认证。

该认证包含三块内容：

第一块是与AICPA联合的CSA STAR Attestation，该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵，用来指导SOC 2的执行；

第二块是CSA STAR Certification，由CSA指定第三方认证机构基于ISO27001+CSA云控制矩阵来进行评估，算是最正宗的CSA云安全认证；

第三块是针对我大天朝的CSA C-STAR评估，基于GB/T 22080-2008+等级保护基本要求+GB/Z 28828-2012以及CSA的云控制矩阵。

国内有一家公司获得了全球第一张云安全国际认证金牌（CSA-STAR），大伙觉得是谁，不用猜，还是阿里云。

关于云计算安全评估还有两个ISO27000系列的标准可以进行认证，分别是：

《ISO27017:2015基于27002的云计算服务的信息安全控制措施实用规则》

《ISO27018:2014公共云计算服务的数据保护控制措施实用规则》

ISO27017:2015针对云服务的信息安全控制提供了实施指导。

ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。

基于ISO27002，并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。

国内也发布了两个云计算服务的相关标准，《GB/T 31167-2014信息安全技术云计算服务安全指南》和《GB/T 31168-2014信息安全技术云计算服务安全能力要求》，至于谁来执行，暂时没看到更多信息。

为什么要强调合规？

合规不能保证绝对安全，但合规是安全的基础，也是当前提升企业安全保障能力的重要途径，这也是越来越多的企业青睐认证的缘由。

大家应该清楚合规和安全的关系，开车上路就必须得持有驾照，必须得系安全带，这就是交通领域的合规，但是你即使完全合规，也不能100%保证不发生安全事故。

合规的意义