YD_T 3954-2021 云服务用户数据保护能力参考框架.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3954—2021 云服务用户数据保护能力参考框架 Cloud user data protection capability reference framework 2021-12-02发布 2022-04-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3954—2021 目 次 前言 Ⅲ 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 2 4.1 云服务用户数据保护能力范围 2 4.2 云服务用户数据保护能力分级参考框架 2 4.3 云服务用户数据保护能力划分 4 5 指标项定义和规范性描述 4 5.1 数据持久性 4 5.2 数据私密性 5 5.3 数据隐私性 7 5.4 数据知情权 7 5.5 数据防窃取性 7 5.6 数据可用性 7 5.7 数据访问安全性 8 5.8 数据传输安全性 9 5.9 数据迁移安全性 9 5.10 数据销毁安全性 10 5.11 数据返还安全性 10 5.12 人员安全管控 11 5.13 入侵防范 11 5.14 恶意代码防范 12 5.15 应急响应 12 5.16 安全审计 13 Ⅱ YD/T 3954—2021 5.17 售后服务与技术支持 13 5.18 服务可审查性 14 Ⅲ YD/T 3954—2021 前 言 本标准是“云服务用户数据保护能力”系列行业标准之一，该系列标准名称和结构如下： 云服务用户数据保护能力参考框架； 一云服务用户数据保护能力评估方法第1部分：公有云； 一 云服务用户数据保护能力评估方法第2部分：私有云。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、上海优刻得信息科技有限公司、腾讯云计算(北京)有限 责任公司、阿里云计算有限公司、北京京东叁佰陆拾度电子商务有限公司、华为技术有限公司、北京升 鑫网络科技有限公司、中国电信股份有限公司云计算分公司、网宿科技股份有限公司、北京百度网讯科 技有限公司、北京三快云计算有限公司、金山云网络技术有限公司、联通云数据有限公司、中国移动通 信集团公司政企客户分公司、北京世纪互联宽带数据中心有限公司、北京奇安信科技有限公司360企 业安全集团、上海浪潮云计算服务有限公司、网易(杭州)网络有限公司、中兴通讯股份有限公司、新 华三技术有限公司、深信服科技股份有限公司、佳讯飞鸿(北京)智能科技研究院有限公司、烽火通信 科技股份有限公司、 BoCloud 博云、上海优铭云计算有限公司、浙江九州云信息科技有限公司、上海蓝 云网络科技有限公司、北京中联润通信息技术有限公司、中移(苏州)软件技术有限公司、优思得云计 算科技(北京)有线公司、国际商业机器(中国)有限公司、杭州安恒信息技术股份有限公司。 本标准主要起草人：封莎、栗蔚、何宝宏、何友斌、王敬宇、朱锋、王永霞、沈锡庸、张大江、黄 少青、海洋、李培、高巍、耿涛、罗斌、陈光辉、赵华、程度、韩冰、王彦丹、杨天路、谭燕齐、刘沛、 谢广军、李爽、吴婧、吴建强、曾小伟、胡斯诺、张娜、王萃娟、李晓宇、徐燕、赵万成、杨帆、刘浩、 李纪峰、王方、朱勇、张敏、祝卓、杨春建、万晓兰、杨恩众、陈沛、钟昊、陈姝、何玉娟、邹素雯、 涂文杰、耿浩涛、朱荣泽、刘传宇、陈澍、乔海波、郭旸、杨剑浩、江琦、程海旭、黄英杰、隋涛。 IV YD/T 3954—2021 引 言 云计算和传统IT 系统最显著的区别之一，在于用户的数据和业务从自有的数据中心或机房托管到 了云服务提供商的云平台上。在传统IT 系统中，用户即服务商，用户和服务商是一个主体，对数据安 全保护的目标和利益一致。而在云计算架构下，用户和服务商分离，成为完全独立的两个主体，数据的 所有者和保管者分离，数据的所有权与保管权分离，大多数情况下用户和服务商利益一致，但也存在少 数情况下的不一致，必将引发新的数据安全问题。 从用户的视角看云计算数据安全问题，可概括为以下三个方面： 一是传统IT 系统数据安全问题仍 然存在；二是由于不涉及切身利益，云服务提供商在运营过程中易忽略但将长期潜在的未知安全问题； 三是云服务提供商可能为了自己的利益损害用户数据安全，如将用户数据用来做机器学习、大数据分析， 在用户合同到期后未完全删除用户