选型宝访谈：深度协作时代，微软Office 365如何驾驭安全隐患？

写在前面

文档处理与分享协作是企业日常运营中最基本的需求，而微软Office作为雄霸PC桌面多年的办公软件王者，如何适应“移动+云”时代的巨大变化，如何满足企业日益复杂的办公与协作需求，一直是CIO们关注的热点之一。

从PC桌面应用到跨平台云端服务，从 Office 20xx 到 Office 365，微软的办公软件经历了怎样的蜕变与重生？特别是在今天，“移动+协作”带来的安全隐患日益凸显，《网络安全法》正式实施，企业在数字化转型过程中，除了要应对复杂的业务需求，还面临着安全与合规性的巨大挑战。新形势下，微软Office 365又是如何为企业的安全与合规保驾护航的？

为了回应微软用户和选型宝社区CIO们的关切，选型宝直播与微软（中国）合作，举办了《“微”领未来》企业数字化转型系列公开课。

系列公开课的第一期，我们请到了微软（中国）首席法律专家罗立凡（Kevin Luo）博士和微软大中华区Office事业部产品市场总监Jason Lou先生，为大家深度解读网络安全法，并分享Office 365在安全与合规性方面的优势和特色。

下面，就让我们一起回顾本期访谈的精彩内容吧。

Kevin Luo  博士 微软亚太研发集团法律事务部总经理

Jason Lou 微软大中华区Office事业部产品市场总监

李维良 选型宝 首席架构师

微软（中国）首席法律专家罗立凡（Kevin Luo）博士深度解读《网络安全法》

李维良（主持人）

什么是合规？企业为什么需要合规管理？什么样的企业需要合规管理？

Kevin（嘉宾）

任何一个企业，在任何一个国家或地区进行经营活动，都要遵守当地的法律、法规和标准，这就是“合规”。不管是企业还是公民，遵守法律和法规都是基本的责任和原则。合规，不但意味着企业要遵守规则，它也会帮助企业预防和控制风险，使企业避免受到监管性的惩罚。

作为一家国际化企业，微软在全球任何一个国家或地区经营，都会符合当地的法律、法规，在中国也不例外。微软在中国的运营，会遵守中国的法律、法规和强制标准。

李维良

对那些正处在数字化转型过程中的中国企业来说，有哪些法律法规是必须知道并遵守的？

Kevin

数字化转型的领域非常宽泛，涉及到的法律、法规很难穷尽。但是，有三类法律、法规，对大部分企业都会适用：一是和安全相关的《网络安全法》，二是电信领域的《电信条例》，三是互联网信息管理方面的法律和法规。

同时，对于特定行业的企业，还应当遵守本行业的规章、条例，例如：金融行业的《中国人民银行关于银行内容机构做好个人金融信息保护工作的通知》、《金融消费者权益保护实施办法》；医疗行业的《人口健康信息管理办法（试行）》；互联网约车行业的《网络预约出租汽车经营服务暂行办法》等等。

李维良

《网络安全法》是一部怎样的法律？它诞生的背景和过程是怎样的？

Kevin

《网络安全法》是我国第一部全面规范网络空间安全管理问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。从国际视角来看，《网络安全法》是应对网络安全挑战这一全球性问题的中国方案，透过这部法律，我们能够看到中国维护网络空间主权的决心。

说起《网络安全法》的诞生，还要追溯到2013年的“棱镜门”事件。这一事件爆发之后，中国政府意识到网络安全和相关立法的重要性，于是成立了中共中央网络安全和信息化领导小组办公室，专门统筹、协调涉及多个领域的网络安全和信息化重大问题。

此后，包括《网络安全法》在内的网络安全相关战略、配套法律法规及标准也相继出台或列入制定规划。

2016年11月7日，《中华人民共和国网络安全法》在第12届全国人民代表大会常务委员会第24次会议上高票通过，2017年7月6月1日起正式实施。

李维良

网安法的整体框架是怎样的？它提出了哪些基本原则？制定了哪些战略目标？

Kevin

《网络安全法》是一部综合性、原则性的基本大法，其战略目标在于强化网络运行安全，保护国家信息安全，创造良好的网络环境，从而保障企业创新和个人信息不被滥用。

《网络安全法》包括了对网络安全的支持和促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等几大部分，规定了各级政府部门、网络运营者、关键信息基础设施运营者、以及公民在网络信息和运营安全、个人信息保护、网络信息应急处理等方面的权利和义务。

在这里，我跟大家分享几个《网络安全法》的重要理念。第一，网安法明确规定，要维护我国的网络空间主权，这是一个非常重要的理念。网络空间主权是国家主权在网络空间的自然延伸和表现，网安法第一条就申明，中国政府有权管理和保卫自己的网络空间。第二，网安法对政府机构也提出了相应要求，要求相关的政府机构发布网络安全战略，协调各个部门来制定网络安全的法律法规。第三，网安法对网络的运营者提出了一些比较重要的要求，包括：要采取一些基本的安全措施，保证你运营的网络是安全的；你在网络上发布的信息是合法的；在一些情况下要实行实名认证；一般的网络运营者要符合“等级保护”要求。

李维良

《网络安全法》中有哪些需要特别注意的规定？请您为大家划一划重点。

Kevin

对网络运营者(网络的所有者、管理者和网络服务提供者)来说，要遵守法律和行政法规，切实履行网络安全保护义务，监管非法内容传播，保障网络安全、稳定运行，保护个人信息安全，制定好网络安全事件应急响应方案。

对关键信息基础设施运营者来说，还应履行一些额外的安全保护义务，遵守一些更高的要求，比如：运营过程中产生的重要数据和个人数据都必须存储在中国；数据出境要进行安全评估；采购网络产品和服务要进行安全审查等等。

在个人信息保护方面，网安法规定：收集个人信息之前，要取得个人同意；使用个人信息时，要告知使用的目的、方式和范围；对收集的个人信息，不得泄露、篡改和毁损；未经同意，不得向他人提供个人信息；要采取措施，防止信息泄漏、毁损或丢失。

李维良

《网络安全法》正式实施以来，有没有一些处罚案例？

Kevin

有，而且有很多。我们看到的案例大致分四类：违规发布及未落实实名制制度、未落实等保制度、未落实安全保护制度、未落实个人信息隐私保护制度。

违规发布及未落实实名制制度的主要案例包括：广东省网信办调查阿里云未落实实名制制度责令立即整改；浙江网信办对淘宝、蘑菇街互动网等网站违规售卖V**工具限期责令改正并依法处罚。

未落实等保制度的案例有:安徽网信办对一学校网站未进行等级保护、留存数据，导致身份信息泄漏责令改正；安徽公安局查实当地一学校网站未进行等级保护，遭黑客攻击，责令改正并处罚款。

在未落实网络安全保护制度方面，广东省工信部门调查了UC浏览器存在安全漏洞的问题。

在未落实个人信息隐私保护制度方面，中央网信办、工业和信息化部、公安部、国家标准委等四部门选取了微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网共10款互联网产品和服务进行评审。

李维良

企业作为责任主体，在落实“网安法”的过程中，会遇到哪些挑战？

Kevin

《网络安全法》是一部综合性立法，对企业来说，复杂的法律体系需要花时间去了解。另外，网安法去年6月才正式实行，更多配套的合规细则尚未出台，很多企业仍然不清楚，具体怎么做才能合规。对于关键信息基础设施运营单位来说，还要遵守一些额外法律条款，这也是一个挑战。

李维良

对企业的IT管理者来说，应该采取哪些措施，有效应对“网安法”实施给企业发展带来的巨大压力？

Kevin

对企业的IT运营者来说，应该认真学习、理解网安法规定的相关义务。当企业被认为是“网络运营者”时，应当确保企业合规，包括：对产品和服务定期升级，打补丁；加强对网站内容的合法性审查；落实对个人信息安全的保护；满足对等级保护的合规性要求；制定网络安全事件的应急措施及配套方案。

目前，《网络安全法》的很多配套细节尚未出台，对关键信息基础设施运营单位的定义尚未公布，因此，建议企业先对自己的主体身份做出初步判断，并着手进行相应的准备。

李维良

谢谢罗博士的分享！

微软大中华区Office事业部产品市场总监Jason Lou为您分享：

作为作为云端生产力服务Office 365如何应对“移动+云”时代的安全与合规性挑战？

李维良

在协作和分享无处不在的今天，数据安全成为企业CIO们最关心的问题。那么，今天的企业都面临着哪些安全威胁？

Jason

确实，我们今天会看到越来越多的协作场景，有越来越多的员工会在不同的地点，用不同的设备来访问公司的网络。在这种情况下，企业所面临的风险也在日益加大。更可怕的是，很多企业和个人，并没有意识到这种风险有多大。

我在这里和大家分享一组数据：2016年，全球被泄漏的数据记录高达40亿条；在过去的 12 个月里，52% 的大型企业发生过数据泄漏事故；APT攻击的持续时间可以长达140天；45% 的企业因为缺乏数据管控措施，而使自身暴露在诉讼与数据安全的风险之中……

在如此严峻的安全形势下，我认为，企业首先需要设置CSO（Chief Security Officer 首席安全官）岗位，专职负责安全工作。同时，企业应谨慎选型，使用安全与合规性更好的信息化工具。

李维良

Office 365是怎样一种解决方案？它为企业带来的核心价值是什么？

Jason

Office是大家耳熟能详的办公软件，而Office 365 则是微软为企业提供的最完整、最安全的新一代云端生产力服务。

除了大家熟知的Word、Excel、PowerPoint等文档工具，Office 365还提供了更多的协作工具，如：用于邮件收发的Exchange Online，用于文档分享与管理的SharePoint ，用于高清视频会议的Skype for Business等等。

借助这些协作工具，企业可以享用全球统一的云端存储、电子邮箱、高清视频会议和即时消息等服务，轻松定制工作流，共享日历，有效配置团队成员的时间资源，轻松推进项目进度。

在移动性方面，Office 365也做了很多改进和提高。无论是公司配发的设备，还是BYOD设备，不管是iOS平台，还是Android平台，Office 365都能够提供跨屏平台的统一体验，帮助您随时随地、快捷高效、井井有条地处理各种事务。

Office 365还是一个内嵌智能的平台，大到Power BI的数据展示，小到PowerPoint中的“设计师”功能，微软强大的AI引擎，都能够为我们提供更贴心、更人性化的服务。通过使用Office 365，你会发现，人工智能其实就在我们身边。

李维良

Office 365是公有云服务，人们往往觉得，公有云就意味着不安全，您怎么看待这个问题？

Jason

有些人认为，数据还是存在自己的硬盘上最安全。其实，硬盘是只有单一存储功能的硬件，存有敏感文件的硬盘，一旦丢失或损坏，就会造成数据泄漏或遗失。硬盘本身不值钱，值钱的是文件和数据，机密文件丢失或泄漏造成的损失，是多少金钱都无法弥补的。

相比之下，云服务商会使用更专业的存储设备和运维服务，并提供多数据中心备份、全天候技术支持和有保障的 SLA。选择安全、合规的可信云服务，用户的数据安全和隐私会得到更好的保障。

再和私有云相比，公有云服务采购和维护的成本更低，用户无需在本地部署任何服务器，即可获得全套现代化服务。以Office 365为例，用户购买之后，即可通过多终端，享受立等可用、免维护的企业级邮件、协同、存储、会议等服务。

李维良

微软的 Office 365是如何持续满足企业不断发展的合规性需求的？

Jason

在微软Office 365的合规性框架中，包含了超过1000种控制措施，这将帮助我们与不同地域持续演变的行业标准保持同步。通过内置的隐私、透明度和更精准的用户控制，用户可以更好地控制数据的安全性和合规性。

Office 365符合包括 ISO 27001, FISMA, 和EU Model Clauses 在内的多项标准。对于已获得的认证，微软会执行定期审计，向独立的第三方审计机构提交自评估。

作为全球合规性领导者，微软借助Office 365，将安全性和合规性提升到新的层次。 可以说，Office 365是有史以来最安全的 Office。

李维良

Office 365为用户提供了哪些隐私保护？它是如何确保用户数据不被泄漏的？

Jason

微软非常重视用户的隐私保护，我们会以合同的方式，向客户承诺：客户是其数据的唯一所有者，我们不会出于广告目的，挖掘客户数据。微软提倡客户至上的数据隐私策略，允许用户通过隐私控制功能，配置公司的隐私策略。

对客户来说，可通过识别、标注、分类以及策略设置，保护信息安全。利用 Azure 信息保护功能，可加密你的数据并设定访问权限；利用DLP（数据泄漏防护），可获得进一步的数据安全；利用安全评分，可以了解并提升你的安全级别；利用移动应用管理（MAM），可限制不同应用之间的未授权数据共享，如此等等。

李维良

Office 365和Office2016有怎样的区别和联系？

Jason

Office 2016是本地客户端软件，需要一次性支付较高费用，且只包含所购买版本的软件。除非购买软件保障，否则不能免费升级至后续新版。并且，Office 2016的用户只能在固定的一个平台上使用软件。

Office 365提供的是软件加服务，用户按月或按年支付小额费用，就能持续使用始终保持最新版本的Office软件。并且，用户可以同时在电脑、手机、平板等多种终端上，不拘一处地灵活使用Office 365的强大功能。

李维良

既然Office 365是公有云服务，那它是不是只能在线使用，在没有网络连接的情况下，还能正常使用吗？使用Office 365时，数据是不是必须存在云上？

Jason

Office 365可以在本地使用。Office 365软件会定期通过更新，提供最新的功能，只要上网，软件就会进行自动检查，同时自动下载和安装更新，确保每次打开的Office 365软件都是最新版本。

对用户来说，数据可以存在云端，也可以存在本地，您完全可以根据需求，自行安排。相比本地保存，存储在云端的数据可以获得更加完善的隐私保障，并且使用上更方便。当您用不同的设备办公，或希望与他人共享文档时，就可以轻松通过云端来获取，无需借助第三方工具。

李维良

针对企业用户，Office 365有哪些版本？这些版本在功能和收费标准上有什么区别？企业应如何选择适合自己的版本？

Jason

Office 365有商业版和企业版。价格最低的Office 365商业协作版，仅需30元/用户/月，用户就可以享用电子邮件、在线会议、云存储等功能，可轻松地在任何设备上共享、协作或编辑文档。

最高的Office 365企业版E5，费用是220元/用户/月，具有高级安全和分析、云端语音和PSTN会议等功能，适用于500人以上的大型企业。企业可以根据自己的需求，灵活选择不同的版本。

李维良

谢谢Jason的分享