网络研讨会重点回顾 – 90 天安全计划进度报告：7 月 1 日

我们的 90 天安全计划已接近尾声，本周“对话袁征”活动聚焦该安全计划自实施以来所取得的进展，包括我们推出的主要更新、在 90 天安全计划中向客户作出的承诺的状态以及 Zoom CISO 委员会的相关更新。

Zoom 首席执行官袁征、首席运营官 Aparna Bawa、首席产品官 Oded Gal、副首席信息官兼 CISO 委员会主席 Gary Sorrentino 以及新任首席信息安全官 Jason Lee 参加了会议。

首席技术官 Brendan Ittelson、安全工程部负责人 Max Krohn 以及首席合规和道德官 Lynn Haaland 参与了问答环节。

产品更新

Oded 简要介绍了最近 90 天 Zoom 平台所推出的主要更新，包括：

• 发布 Zoom 5.0： 我们在 4 月 27 日发布了 Zoom 5.0，该版本支持 AES 256 位 GCM 加密，这是如今最安全的加密标准之一。从 5 月 30 日起，在整个系统的账户中启用 AES 256 位 GCM 加密功能。
• 用户界面中新增安全图标： 主持人和联席主持人可通过安全图标即时访问会议中的重要安全控件，包括锁定会议和启用等候室功能，以及管理参会者共享屏幕、参与聊天和对自己重命名或取消静音的选项。
• “举报用户”功能： 主持人和联席主持人可以向 Zoom 信任和安全团队举报用户和会议中断事件，该团队将审查任何滥用平台的潜在行为并采取适当措施。
• 更新会议默认安全设置： 免费/基础版账户和单一专业版账户默认将开启密码、等候室和仅限主持人屏幕共享功能。免费/基础版账户用户将强制在会议中使用密码。
• 自定义数据路由：为增强主持人对数据的控制，我们在 4 月 18 日对付费账户客户实施了数据路由选项，允许其自定义数据中心设置。管理员和付费账户持有者可以在账户、群组、用户或会议层面选择退出或加入数据传输的特定数据中心区域。

未来我们将开发新的功能，实施一系列相应机制来确保产品和功能开发的每个阶段始终将安全和隐私摆在首位。

CISO 委员会嘉宾更新

Gary 随后采访了两位 CISO 委员会成员，分别是 PwC 全球和美国首席信息技术官 James Shira，以及 Ralph Lauren 首席安全官、首席隐私官兼全球基础设施高级副总裁 Cy Fenton，他们对委员会的指令和会议进行了更多介绍。该访谈的谈话要点如下：

Cy，您为什么选择加入 Zoom CISO 委员会？

“这个决定很简单。Zoom 已成为我们用于服务最终用户的工具集中的重要和核心部分。在新冠肺炎疫情之前，我们将 Zoom 作为大型会议工具，而现在，我们每天会使用好几次，几乎每场会议中都会用到。Zoom 是我们非常重要的供应商，还有一个重要机会是能够获得有效的分析见解以及有关路线图方面的深入知识。”

James，90 天计划进展如何？

“我参与过许多大型企业安全转型计划，需要谨记的关键点是这是一个旅程。在我看来，Zoom 的独特之处在于该旅程是实时、真实地发生在公共场合。因此，我认为该计划的进展非常顺利。”

介绍 Zoom 首席信息安全官 Jason Lee

Eric 介绍了 Zoom 新任首席信息安全官 Jason Lee。Lee 在信息安全和关键任务服务运营方面拥有 20 年的专业知识积累。他的上一职务是 Salesforce 的安全运营高级副总裁，负责确保这家全球组织为客户和员工（包括全公司网络和系统安全与威慑安全团队）提供关键的安全操作。

“我非常高兴与 Zoom 这个优秀的团队合作。”Jason 表示，“该公司最近在安全方面所取得的进展引人注目，我对未来充满期待。”

回顾 90 天安全计划承诺

Zoom 首席运营官 Aparna Bawa 重点回顾了我们 90 天安全计划中对客户作出的承诺，包括：

• 实行功能冻结（4 月 1 日起生效），将我们的所有资源集中用于解决我们最紧要的信任、安全和隐私问题。
• 通过第三方专家和用户代表进行全面审查，充分了解并确保我们所有新用例的安全和隐私。
• 编制包含数据、记录或内容请求等相关详细信息的透明度报告。
• 改进我们的漏洞报告奖励计划。
• 成立 CISO 委员会。
• 通过一系列同时进行的白盒渗透测试进一步发现并解决问题。
• 每周三举行每周网络研讨会，向用户介绍我们在安全和隐私方面的最新更新。

有关这些承诺状态的更多信息，请查看我们的博客（其中详细介绍了我们 90 天安全计划旅程）和 我们在 2020 年 7 月 1 日后的主要更新汇总 PDF。

问答

Zoom 90 天安全计划执行中最困难的部分是什么？作为领导您有什么感悟？

袁征解释道，Zoom 最初是为企业所开发的，满足大量新用户在隐私、安全和独特用例方面的需求是一项巨大的挑战。他还解释说，只要 Zoom 聆听客户心声，维持透明性，并致力于构建最卓越的平台，我们就能克服一切困难。

Zoom 90 天安全计划结束后，Zoom 未来是否将重新开始发布与安全性无关的功能更新？

Zoom 一直将安全作为重中之重。我们将会恢复在这 90 天中暂时冻结的非安全功能工作，开发适合用户当前和未来需求的新功能和产品。

是否可以在群组级别应用强制安全设置，而不是在账户级别设置？

是的。可以在账户、群组或用户级别进行设置。

作为首席信息安全官，您认为指导最终用户安全最佳实践的最好方式是什么？

客座 Zoom 首席信息安全官 Fenton 指出，在企业层面指导员工安全实践的最佳方式是制定稳妥的安全培训计划，并通过与员工讨论他们所面临的安全风险及其防御办法，以及安全在日常工作中的作用，让他们了解安全的重要性。

Zoom 为什么要发布政府请求指南？

Aparna 解释道，Zoom 之所以发布该指南，是因为这是持续维持我们运营方式开放性和透明性的一部分。我们将它作为政府与 Zoom 合作的蓝图，包括相关联系信息以及 Zoom 在回应各种政府请求时的标准和流程。

Zoom 在安全方面的一般方法是什么？

Jason 解释道，他将利用行业标准和公共框架建立 Zoom 的安全做法，以明确展示 Zoom 安全做法的作用及其成熟性。

系统管理员是否可以看到用户所使用的客户端版本？

系统管理员可以进入仪表板的用户管理部分，然后点击右上角的齿轮图标来查看显示客户端版本的附加栏。商业计划或同等计划版本的管理员可以进入 Zoom 仪表板，其中提供了其账户中客户端版本的分布情况图示。另外也可以进入会议选项卡，然后深入查看任何会议元数据，从而了解参会者所使用的客户端版本。

随着越来越多的公司转至基于云的服务，评估供应商以及确保其履行网络安全责任的最佳方式是什么？

Jason 指出，他研究了该特定供应商在目前和过去的创新情况，以及该组织领导团队的质量。他还深入了解了其他首席信息安全官，并询问了他们对该组织的体验情况。Cy 补充道，组织必须对解决问题和应对挑战的方式保持透明公开，这一点非常重要。

感谢您的支持

感谢您参加本周的研讨会，并向所有给我们提出问题的人表示感谢！感谢您的一路相伴和支持，让我们携手将 Zoom 打造为全球最安全的企业通信平台。

如果您错过本周会议，可以观看此处的录制视频：