专栏首页用户5952482的专栏选型宝访谈:深度协作时代,微软Office 365如何驾驭安全隐患?
原创

选型宝访谈:深度协作时代,微软Office 365如何驾驭安全隐患?

写在前面

文档处理与分享协作是企业日常运营中最基本的需求,而微软Office作为雄霸PC桌面多年的办公软件王者,如何适应“移动+云”时代的巨大变化,如何满足企业日益复杂的办公与协作需求,一直是CIO们关注的热点之一。

从PC桌面应用到跨平台云端服务,从 Office 20xx 到 Office 365,微软的办公软件经历了怎样的蜕变与重生?特别是在今天,“移动+协作”带来的安全隐患日益凸显,《网络安全法》正式实施,企业在数字化转型过程中,除了要应对复杂的业务需求,还面临着安全与合规性的巨大挑战。新形势下,微软Office 365又是如何为企业的安全与合规保驾护航的?

为了回应微软用户和选型宝社区CIO们的关切,选型宝直播与微软(中国)合作,举办了《“微”领未来》企业数字化转型系列公开课。

系列公开课的第一期,我们请到了微软(中国)首席法律专家罗立凡(Kevin Luo)博士和微软大中华区Office事业部产品市场总监Jason Lou先生,为大家深度解读网络安全法,并分享Office 365在安全与合规性方面的优势和特色。

下面,就让我们一起回顾本期访谈的精彩内容吧。

Kevin Luo  博士 微软亚太研发集团法律事务部总经理

Jason Lou 微软大中华区Office事业部产品市场总监

李维良 选型宝 首席架构师

微软(中国)首席法律专家罗立凡(Kevin Luo)博士深度解读《网络安全法》

李维良(主持人)

什么是合规?企业为什么需要合规管理?什么样的企业需要合规管理?

Kevin(嘉宾)

任何一个企业,在任何一个国家或地区进行经营活动,都要遵守当地的法律、法规和标准,这就是“合规”。不管是企业还是公民,遵守法律和法规都是基本的责任和原则。合规,不但意味着企业要遵守规则,它也会帮助企业预防和控制风险,使企业避免受到监管性的惩罚。

作为一家国际化企业,微软在全球任何一个国家或地区经营,都会符合当地的法律、法规,在中国也不例外。微软在中国的运营,会遵守中国的法律、法规和强制标准。

李维良

对那些正处在数字化转型过程中的中国企业来说,有哪些法律法规是必须知道并遵守的?

Kevin

数字化转型的领域非常宽泛,涉及到的法律、法规很难穷尽。但是,有三类法律、法规,对大部分企业都会适用:一是和安全相关的《网络安全法》,二是电信领域的《电信条例》,三是互联网信息管理方面的法律和法规。

同时,对于特定行业的企业,还应当遵守本行业的规章、条例,例如:金融行业的《中国人民银行关于银行内容机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》;医疗行业的《人口健康信息管理办法(试行)》;互联网约车行业的《网络预约出租汽车经营服务暂行办法》等等。

李维良

《网络安全法》是一部怎样的法律?它诞生的背景和过程是怎样的?

Kevin

《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。从国际视角来看,《网络安全法》是应对网络安全挑战这一全球性问题的中国方案,透过这部法律,我们能够看到中国维护网络空间主权的决心。

说起《网络安全法》的诞生,还要追溯到2013年的“棱镜门”事件。这一事件爆发之后,中国政府意识到网络安全和相关立法的重要性,于是成立了中共中央网络安全和信息化领导小组办公室,专门统筹、协调涉及多个领域的网络安全和信息化重大问题。

此后,包括《网络安全法》在内的网络安全相关战略、配套法律法规及标准也相继出台或列入制定规划。

2016年11月7日,《中华人民共和国网络安全法》在第12届全国人民代表大会常务委员会第24次会议上高票通过,2017年7月6月1日起正式实施。

李维良

网安法的整体框架是怎样的?它提出了哪些基本原则?制定了哪些战略目标?

Kevin

《网络安全法》是一部综合性、原则性的基本大法,其战略目标在于强化网络运行安全,保护国家信息安全,创造良好的网络环境,从而保障企业创新和个人信息不被滥用。

《网络安全法》包括了对网络安全的支持和促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等几大部分,规定了各级政府部门、网络运营者、关键信息基础设施运营者、以及公民在网络信息和运营安全、个人信息保护、网络信息应急处理等方面的权利和义务。

在这里,我跟大家分享几个《网络安全法》的重要理念。第一,网安法明确规定,要维护我国的网络空间主权,这是一个非常重要的理念。网络空间主权是国家主权在网络空间的自然延伸和表现,网安法第一条就申明,中国政府有权管理和保卫自己的网络空间。第二,网安法对政府机构也提出了相应要求,要求相关的政府机构发布网络安全战略,协调各个部门来制定网络安全的法律法规。第三,网安法对网络的运营者提出了一些比较重要的要求,包括:要采取一些基本的安全措施,保证你运营的网络是安全的;你在网络上发布的信息是合法的;在一些情况下要实行实名认证;一般的网络运营者要符合“等级保护”要求。

李维良

《网络安全法》中有哪些需要特别注意的规定?请您为大家划一划重点。

Kevin

对网络运营者(网络的所有者、管理者和网络服务提供者)来说,要遵守法律和行政法规,切实履行网络安全保护义务,监管非法内容传播,保障网络安全、稳定运行,保护个人信息安全,制定好网络安全事件应急响应方案。

对关键信息基础设施运营者来说,还应履行一些额外的安全保护义务,遵守一些更高的要求,比如:运营过程中产生的重要数据和个人数据都必须存储在中国;数据出境要进行安全评估;采购网络产品和服务要进行安全审查等等。

在个人信息保护方面,网安法规定:收集个人信息之前,要取得个人同意;使用个人信息时,要告知使用的目的、方式和范围;对收集的个人信息,不得泄露、篡改和毁损;未经同意,不得向他人提供个人信息;要采取措施,防止信息泄漏、毁损或丢失。

李维良

《网络安全法》正式实施以来,有没有一些处罚案例?

Kevin

有,而且有很多。我们看到的案例大致分四类:违规发布及未落实实名制制度、未落实等保制度、未落实安全保护制度、未落实个人信息隐私保护制度。

违规发布及未落实实名制制度的主要案例包括:广东省网信办调查阿里云未落实实名制制度责令立即整改;浙江网信办对淘宝、蘑菇街互动网等网站违规售卖V**工具限期责令改正并依法处罚。

未落实等保制度的案例有:安徽网信办对一学校网站未进行等级保护、留存数据,导致身份信息泄漏责令改正;安徽公安局查实当地一学校网站未进行等级保护,遭黑客攻击,责令改正并处罚款。

在未落实网络安全保护制度方面,广东省工信部门调查了UC浏览器存在安全漏洞的问题。

在未落实个人信息隐私保护制度方面,中央网信办、工业和信息化部、公安部、国家标准委等四部门选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共10款互联网产品和服务进行评审。

李维良

企业作为责任主体,在落实“网安法”的过程中,会遇到哪些挑战?

Kevin

《网络安全法》是一部综合性立法,对企业来说,复杂的法律体系需要花时间去了解。另外,网安法去年6月才正式实行,更多配套的合规细则尚未出台,很多企业仍然不清楚,具体怎么做才能合规。对于关键信息基础设施运营单位来说,还要遵守一些额外法律条款,这也是一个挑战。

李维良

对企业的IT管理者来说,应该采取哪些措施,有效应对“网安法”实施给企业发展带来的巨大压力?

Kevin

对企业的IT运营者来说,应该认真学习、理解网安法规定的相关义务。当企业被认为是“网络运营者”时,应当确保企业合规,包括:对产品和服务定期升级,打补丁;加强对网站内容的合法性审查;落实对个人信息安全的保护;满足对等级保护的合规性要求;制定网络安全事件的应急措施及配套方案。

目前,《网络安全法》的很多配套细节尚未出台,对关键信息基础设施运营单位的定义尚未公布,因此,建议企业先对自己的主体身份做出初步判断,并着手进行相应的准备。

李维良

谢谢罗博士的分享!

微软大中华区Office事业部产品市场总监Jason Lou为您分享:

作为作为云端生产力服务Office 365如何应对“移动+云”时代的安全与合规性挑战?

李维良

在协作和分享无处不在的今天,数据安全成为企业CIO们最关心的问题。那么,今天的企业都面临着哪些安全威胁?

Jason

确实,我们今天会看到越来越多的协作场景,有越来越多的员工会在不同的地点,用不同的设备来访问公司的网络。在这种情况下,企业所面临的风险也在日益加大。更可怕的是,很多企业和个人,并没有意识到这种风险有多大。

我在这里和大家分享一组数据:2016年,全球被泄漏的数据记录高达40亿条;在过去的 12 个月里,52% 的大型企业发生过数据泄漏事故;APT攻击的持续时间可以长达140天;45% 的企业因为缺乏数据管控措施,而使自身暴露在诉讼与数据安全的风险之中……

在如此严峻的安全形势下,我认为,企业首先需要设置CSO(Chief Security Officer 首席安全官)岗位,专职负责安全工作。同时,企业应谨慎选型,使用安全与合规性更好的信息化工具。

李维良

Office 365是怎样一种解决方案?它为企业带来的核心价值是什么?

Jason

Office是大家耳熟能详的办公软件,而Office 365 则是微软为企业提供的最完整、最安全的新一代云端生产力服务。

除了大家熟知的Word、Excel、PowerPoint等文档工具,Office 365还提供了更多的协作工具,如:用于邮件收发的Exchange Online,用于文档分享与管理的SharePoint ,用于高清视频会议的Skype for Business等等。

借助这些协作工具,企业可以享用全球统一的云端存储、电子邮箱、高清视频会议和即时消息等服务,轻松定制工作流,共享日历,有效配置团队成员的时间资源,轻松推进项目进度。

在移动性方面,Office 365也做了很多改进和提高。无论是公司配发的设备,还是BYOD设备,不管是iOS平台,还是Android平台,Office 365都能够提供跨屏平台的统一体验,帮助您随时随地、快捷高效、井井有条地处理各种事务。

Office 365还是一个内嵌智能的平台,大到Power BI的数据展示,小到PowerPoint中的“设计师”功能,微软强大的AI引擎,都能够为我们提供更贴心、更人性化的服务。通过使用Office 365,你会发现,人工智能其实就在我们身边。

李维良

Office 365是公有云服务,人们往往觉得,公有云就意味着不安全,您怎么看待这个问题?

Jason

有些人认为,数据还是存在自己的硬盘上最安全。其实,硬盘是只有单一存储功能的硬件,存有敏感文件的硬盘,一旦丢失或损坏,就会造成数据泄漏或遗失。硬盘本身不值钱,值钱的是文件和数据,机密文件丢失或泄漏造成的损失,是多少金钱都无法弥补的。

相比之下,云服务商会使用更专业的存储设备和运维服务,并提供多数据中心备份、全天候技术支持和有保障的 SLA。选择安全、合规的可信云服务,用户的数据安全和隐私会得到更好的保障。

再和私有云相比,公有云服务采购和维护的成本更低,用户无需在本地部署任何服务器,即可获得全套现代化服务。以Office 365为例,用户购买之后,即可通过多终端,享受立等可用、免维护的企业级邮件、协同、存储、会议等服务。

李维良

微软的 Office 365是如何持续满足企业不断发展的合规性需求的?

Jason

在微软Office 365的合规性框架中,包含了超过1000种控制措施,这将帮助我们与不同地域持续演变的行业标准保持同步。通过内置的隐私、透明度和更精准的用户控制,用户可以更好地控制数据的安全性和合规性。

Office 365符合包括 ISO 27001, FISMA, 和EU Model Clauses 在内的多项标准。对于已获得的认证,微软会执行定期审计,向独立的第三方审计机构提交自评估。

作为全球合规性领导者,微软借助Office 365,将安全性和合规性提升到新的层次。 可以说,Office 365是有史以来最安全的 Office。

李维良

Office 365为用户提供了哪些隐私保护?它是如何确保用户数据不被泄漏的?

Jason

微软非常重视用户的隐私保护,我们会以合同的方式,向客户承诺:客户是其数据的唯一所有者,我们不会出于广告目的,挖掘客户数据。微软提倡客户至上的数据隐私策略,允许用户通过隐私控制功能,配置公司的隐私策略。

对客户来说,可通过识别、标注、分类以及策略设置,保护信息安全。利用 Azure 信息保护功能,可加密你的数据并设定访问权限;利用DLP(数据泄漏防护),可获得进一步的数据安全;利用安全评分,可以了解并提升你的安全级别;利用移动应用管理(MAM),可限制不同应用之间的未授权数据共享,如此等等。

李维良

Office 365和Office2016有怎样的区别和联系?

Jason

Office 2016是本地客户端软件,需要一次性支付较高费用,且只包含所购买版本的软件。除非购买软件保障,否则不能免费升级至后续新版。并且,Office 2016的用户只能在固定的一个平台上使用软件。

Office 365提供的是软件加服务,用户按月或按年支付小额费用,就能持续使用始终保持最新版本的Office软件。并且,用户可以同时在电脑、手机、平板等多种终端上,不拘一处地灵活使用Office 365的强大功能。

李维良

既然Office 365是公有云服务,那它是不是只能在线使用,在没有网络连接的情况下,还能正常使用吗?使用Office 365时,数据是不是必须存在云上?

Jason

Office 365可以在本地使用。Office 365软件会定期通过更新,提供最新的功能,只要上网,软件就会进行自动检查,同时自动下载和安装更新,确保每次打开的Office 365软件都是最新版本。

对用户来说,数据可以存在云端,也可以存在本地,您完全可以根据需求,自行安排。相比本地保存,存储在云端的数据可以获得更加完善的隐私保障,并且使用上更方便。当您用不同的设备办公,或希望与他人共享文档时,就可以轻松通过云端来获取,无需借助第三方工具。

李维良

针对企业用户,Office 365有哪些版本?这些版本在功能和收费标准上有什么区别?企业应如何选择适合自己的版本?

Jason

Office 365有商业版和企业版。价格最低的Office 365商业协作版,仅需30元/用户/月,用户就可以享用电子邮件、在线会议、云存储等功能,可轻松地在任何设备上共享、协作或编辑文档。

最高的Office 365企业版E5,费用是220元/用户/月,具有高级安全和分析、云端语音和PSTN会议等功能,适用于500人以上的大型企业。企业可以根据自己的需求,灵活选择不同的版本。

李维良

谢谢Jason的分享

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 选型宝访谈:Office 365+微信=?

    ​ ...

    选型宝
  • 选型宝访谈 | 什么是没有基因缺陷的信息安全体系?

    ​ ...

    选型宝
  • 选型宝访谈:什么是APP测试的正确打开方式?

    在今天的移动互联网时代,信息系统移动化成为企业CIO/CTO们最关心的话题之一。虽然移动化有很多路径,但相对来说,开发原生APP仍然是性能和体验最佳的一种方式。

    选型宝
  • Typecho用模板和插件完美还原Wordpress功能

    本站使用的模板是简洁风initial,本来为了与主页适配是要自己扒模板的,但是意外发现有人已经做过了,叫AttentionX,两款模板下载链接均附在下方。 T...

    赵帆同学GXUZF.COM
  • 【干货】Oracel存储过程写报表实战

    前面我们学习了《Oracle的静态游标与动态游标》游标的使用方法,这篇我们就来看看怎么用存储过程写出客户想要实现的报表。

    Vaccae
  • protostuff 传输格式问题

    异常信息: msg=com.google.protobuf.InvalidProtocolBufferException: While parsing a p...

    MickyInvQ
  • synchronized到底锁住的是谁?

    10 public static void main(String[] args) throws InterruptedException {

    java架构师
  • synchronized到底锁住的是谁?

    本文代码仓库:https://github.com/yu-linfeng/BlogRepositories/tree/master/repositories/s...

    用户1148394
  • 最受欢迎的Linux发行版, Manjaro折腾全记录(超长超详细)

    原文链接: https://distrowatch.com/table.php?distribution=manjaro

    zhaoolee
  • python 检查目录零字节文件并发送邮件

    葫芦

扫码关注云+社区

领取腾讯云代金券