国家标准《信息技术安全技术信息安全风险管理》 - 全国信息安全标准化 .docVIP

国家标准《》编制说明 工作简况 任务来源 —XXXX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求》（以下简称“安全通用要求”） 《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》（计划编号：GB/T 22239.2—XXXX）（以下简称“云计算安全扩展要求”）由主要工作过程 1美国联邦系统安全控制的建议（NIST 800-53）SP 800-144 Guidelines on security and privacy in public cloud computing （4）SP800-145 The NIST Definition of cloud computing? （5）SP800-125 Full Virtualization Technologies （6）FedRAMP_Baseline_Security_Controls_REV4； （7）信息安全等级保护测评国家标准； （8）《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》 （9）《GB/T 31167-2014信息安全技术 云计算服务安全指南》 （10）《信息安全技术 信息安全风险评估规范》、《信息技术 安全技术 信息技术安全评估准则》等国家标准。 3）标准编制组形成标准草案 2015年7月，标准编制组形成标准草案，发标准编制组内部征求意见，标准编制组在北京召开了标准草案第一次评审，讨论了标准编制的思路，以及本次国家标准与其他标准之间的关系。评审会结束后，标准编制组根据专家意见，修订了标准草案。 同年12月，标准编制组再次发起专家评审，对标准草案的内容进行了详细的讨论，并认真听取了专家意见。 2016年1月到2016年5月，标准编制组多次召开工作会议，讨论标准草案中相关问题。根据专家意见，对标准草案进行了修改。 4）标准在云等级保护测评中试用 2016年3月至2016年7月，评估中心分别对阿里云、迅达云成进行了云安全等级保护测评，在测评过程中对标准草案进行了试用，并提出了修改意见，标准编制组根据试用意见进行了修改完善。 5）2016年6月29日，召开专家评审会，会后形成征求意见稿 2016年6月29日，标准编制组在北京召开了标准评审会，编制组根据与会专家的意见进一步完善了标准草案。 6）2016年8月25日，WG5召开标准推进会，会后形成征求意见稿 2016年8月25日，WG5在北京召开了标准推进会，编制组对前期意见汇总处理情况做了介绍并听取与会专家意见，会后 7）2016年8月30日，召开标准格式和编写指导讲座，会后对标准格式和规范用语进行了修订 2016年8月30日，公安部信息安全等级保护评估中心邀请公安部信息安全标准委员会形式化审查专家，在标准合适、用语会后编制原则和主要内容 编制原则 一是充分吸收已有云安全相关标准。《云计算安全扩展要求》充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前，《云计算安全扩展要求》已将美国FedrRAMP云安全测试用例、NIST 800-53A、ISO/IEC 27017、SP 800-144、SP 800-145等级保护测评等相关标准的长处进行了吸收，借鉴了国外标准中对云计算的定义和架构,虚拟化安全要求, 公共云防护措施建议,云计算环境中的风险管理、生命周期管理、审计和合规、安全运维建议。 云计算安全扩展要求并在试点项目中获得了较高的评价 主要内容 《云计算安全扩展要求主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果 采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况 与有关的现行法律、法规和强制性国家标准的关系 云计算安全扩展要求符合现有法律法规。政策、法规、标准云计算安全扩展要求云计算安全扩展要求 重大分歧意见的处理经过和依据 云计算安全扩展要求详见意见汇总处理表。 国家标准作为强制性国家标准或推荐性国家标准的建议 建议云计算安全扩展要求作为推荐性国家标准发布实施。 贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容） 云计算安全扩展要求云计算安全扩展要求云计算安全扩展要求。因此，本部分贯彻实施时，应与结合在一起进行。 其他事项说明 本部分不涉及专利。 标准编制组 201年月 5