云计算服务安全指南(GB-T_31167)总汇.pptVIP

云计算服务安全指南解读 云计算初探 云计算概述 云计算风险 生命周期 术语和定义 云计算特征 云计算安全风险 规划准备 服务、部署 云计算优势 角色及职责 基本要求 运行监管 退出服务 选择服务商与部署 云计算概述（术语与定义） A.云计算 通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自主获取和管理资源的模式. 云计算基础 设施 云计算平台 云计算服务 云计算环境 云服务客户 云服务商 第三方评估机构 云计算概述（云计算特征—服务模式—部署模式） A.云计算特征 a）按需自助服务 b）泛在接入 c）资源池化 d）快速伸缩性 e）服务可计量 B.云计算的服务模式 a）软件即服务（SaaS） b）平台即服务（PaaS）c）基础设施即服务（IaaS） C.云计算的部署模式 a）私有云 b）公有云 c）社区云 d）混合云 云计算概述（云计算的优势） 减少开销和能耗 1 增加业务的灵活性 2 提高业务系统的可用性 3 提升专业性 4 云计算风险（云计算安全风险） A、客户对数据和业务 系统的控制能力减弱 B、客户与云服务商之 间的责任难以界定 F、数据残留 E、数据保护更加困难 C、可能产生司法管辖权问题 G、容易产生对云服务商 的过度依赖 D、数据所有权保障面临风险 云计算风险（角色及职责—基本要求） 云服务商 客户 第三方评估机构 -通过安全审查； -进行运行监管； -满足客户数据和业务的迁移需求。 -选择合适的云服务商； -数据和业务的最终安全责任； -监管活动根据规定 开展安全检查。 -对云服务商及云计算 服务开展独立的安全评估； 1. 安全管理责任不变 客户是信息安全的最终责任人 2. 资源的所有权不变 客户提供的数据、设备等资源，运行过程中收集、产生、存储数据和文档都属于客户； 3. 司法管辖关系不变 客户数据和业务的司法管辖权不应因采用云计算服务而改变； 云服务商不得将客户数据及相关信息提供给他国政府及组织； 4. 安全管理水平不变 遵守政府信息系统系统安全管理政策及标准； 5. 坚持先审后用原则 云服务商通过安全审查； 客户选择通过审查的云服务商。 基本要求 客户与云服务商 云计算生命周期 规划准备 选择服务商与部署 运行监管 退出服务 变更服务商 云计算生命周期（规划准备） 概述 政府信息分类 政府业务分类 优先级确定 安全保护要求 需求分析 形成决策报告 效益评估 效 益 评 估 建设成本 运维成本 人力成本 性能和质量 创新性 政 府 信 息 分 类 信息分类原则 敏感信息 公开信息 涉密信息 非涉密信息 政 府 业 务 分 类 一般业务 重要业务 关键业务 需 求 分 析 服务模式 部署模式 功能需求的稳定性和通用性 资源的动态需求特点 时延 业务连续性 可移植性与互操作性 数据的存储位置 监管能力 云计算生命周期（选择服务商与部署） 部署 云服务商的安全能力要求 合同中的安全考虑 确认云服务商 云服务商安全能力 系统与通信保护 系统开发与供应链安全 访问控制 配置管理 维护 应急响应与灾备 审计 风险评估与持续监控 安全组织与人员 物理与环境保护 合同中的安全考虑 云服务商的责任和义务 服务水平协议 保密协议 合同的信息安全相关内容 云计算生命周期（运行监管） 目标 角色职责 客户自身运行监管 云服务商运行监管 合同规定的责任义务和相关政策规定得到落实，技术标准得到有效实施 服务质量达到合同要求 重大变更时客户数据和业务的方向 及时有效的响应安全事件 客户要按照合同、规章制度和标准加强对云服务商和自身的运行监管，云服务商、第三方评估机构应积极参与和配合 客户、云服务商应明确负责运行监管的责任人和联系方式 对违规及违约情况的监管 对安全措施的监管 运行状态监管 重大变更监管 安全事件监管 云计算生命周期（退出服务） 结束语 欢迎加入数通天下, 　　　　　成为我们工作伙伴, 　　　　　　　　愿大家工作开心,共创辉惶！ * * * * * *