9月28日，由国际云安全联盟大中华区主办，上上签电子签约承办的“数字时代，SaaS安全护航企业合规经营”研讨会在线上召开。

本次研讨会邀请到CSA大中华区云应用安全工作组联席组长、公安三所检测中心副研究员陈妍，CSA大中华区专家陈皓，赢胜节能CIO&CMO&CDO张灏，上上签解决方案专家潘伟伟等专家解读CSA SaaS相关标准及报告，同时还将就标杆企业如何借助SaaS安全合规地开展业务、数据出境安全等热点问题进行分享。

研讨会上，陈妍分别从云计算服务模式、云应用市场规模、云应用安全问题、云应用安全技术规范、云应用安全框架等维度解读了云应用的安全标准和测评。

目前，云应用安全主要面对数据泄露、删库跑路、非法访问等风险。为了使云应用厂商及租户面对安全问题时有参考依据，帮助SaaS厂商提升产品的安全合规能力，2022年3月，CSA大中华区联合业内29家单位，31位专家，共同发布了业界第一个云应用安全类的标准——《云应用安全技术规范》（以下简称“标准”）。

该标准从云应用厂商及租户两个视角出发，对厂商研发安全的云应用、租户评估云应用的安全性具有指导价值，通过该标准认证可快速向租户证明云应用的安全性。标准重点关注租户的自助能力、差异化能力、定制化能力，以及云应用的实施安全、交付安全及服务安全，同时也将数据安全合规、隐私保护合规放在测评重要位置。

同时，CSA大中华区与公安三所联合发布基于《云应用安全技术规范》的CAST云应用安全可信认证，帮助SaaS厂商提升产品的安全合规能力，同时也可以节省SaaS客户选型时双方的安全评估成本，快速向云客户证明产品的安全性。
 

SaaS服务具备成本低、效率高等特点，采用SaaS对于企业的成功已经变得越来越重要，但目前SaaS安全还面对管理访问权限、数据丢失、错误配置等问题的挑战。

为此，他谈到对SaaS状态的期望，采用SaaS的组织必须采取必要的安全措施，包括建立健全的SaaS战略，制定和更新风险偏好声明，建立事件响应计划，并通过结构化的第三方风险管理程序进行彻底的尽职调查，以了解每个供应商的安全状况。SaaS提供商则必须考虑标准化安全流程，定义清晰的责任模型，对客户透明，并努力不断改进安全状况

潘伟伟还分享了合同数据生命周期安全管理的内容，从数据采集、数据传输、数据存储、数据处理、数据销毁这五点阐明了合同的循环生命周期。以好丽友电子合同为例，潘伟伟说明了未来电子合同的趋势是不可阻挡的，企业要适应时代的发展趋势，不断完善合同的签约方式，让企业有更多储存数据和处理数据的能力。

2025年中国企业软件市场规模有望达到1.1万亿元，企业级SaaS服务规模有望达到370亿美元。SaaS服务爆发性增长拐点已至，SaaS厂商及租户如何在研发与应用的过程中保障SaaS安全将是永恒的话题。本次CSA研讨会从权威标准、云客户视角、云厂商视角以及企业客户最佳实践全面剖析了SaaS安全议题，为厂商及租户提供了宝贵的参考指南。