YD_T 3797.1-2021 云服务用户数据保护能力评估方法 第1部分：公有云.docx

ICS 33.040 M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3797.1—2021 云服务用户数据保护能力评估方法 第1部分：公有云 Cloud user data protection capability assessment method part 1: public clouds 2021-12-02发布 2022-04-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3797.1—2021 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 评估方法概述 2 5 企业基本信息和业务基本信息披露 2 6 云计算用户数据保护能力指标的完备性和规范性 3 6.1 评估方法 3 6.2 具体指标项 4 7 云计算用户数据保护能力指标的真实性 5 7.1 评估方法概述 5 7.2 具体指标或条款评估方法 5 Ⅱ YD/T 3797.1—2021 前 言 本标准是云服务用户数据保护能力系列行业标准之一，该系列标准名称和结构如下： — YD/T 3954—2021 云服务用户数据保护能力参考框架 — YD/T3797.1—2021 云服务用户数据保护能力评估方法第1部分：公有云 — YD/T3797.2—2021 云服务用户数据保护能力评估方法第2部分：私有云 本标准按照GB/T 1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、上海优刻得信息科技有限公司、腾讯云计算(北京)有限 责任公司、阿里云计算有限公司、北京京东叁佰陆拾度电子商务有限公司、华为技术有限公司、北京升 鑫网络科技有限公司、中国电信股份有限公司云计算分公司、网宿科技股份有限公司、北京百度网讯科 技有限公司、北京三快云计算有限公司、金山云网络技术有限公司、联通云数据有限公司、中国移动通 信集团公司政企客户分公司、北京世纪互联宽带数据中心有限公司、北京奇安信科技有限公司、360 企业安全集团、上海浪潮云计算服务有限公司、网易(杭州)网络有限公司、中兴通讯股份有限公司、 新华三技术有限公司、深信服科技股份有限公司、佳讯飞鸿(北京)智能科技研究院有限公司、烽火通 信科技股份有限公司、 BoCloud 博云、上海优铭云计算有限公司、浙江九州云信息科技有限公司、上海 蓝云网络科技有限公司、北京中联润通信息技术有限公司、中移(苏州)软件技术有限公司、优思得云 计算科技(北京)有线公司、国际商业机器(中国)有限公司、杭州安恒信息技术股份有限公司 本标准主要起草人：封莎、栗蔚、何宝宏、何友斌、王敬宇、朱锋、王永霞、沈锡庸、张大江、黄 少青、海洋、李培、高巍、耿涛、罗斌、陈光辉、赵华、程度、韩冰、王彦丹、杨天路、谭燕齐、刘沛、 谢广军、李爽、吴婧、吴建强、曾小伟、胡斯诺、张娜、王萃娟、李晓宇、徐燕、赵万成、杨帆、刘浩、 李纪峰、王方、朱勇、张敏、祝卓、杨春建、万晓兰、杨恩众、陈沛、钟昊、陈姝、何玉娟、邹素雯、 涂文杰、耿浩涛、朱荣泽、刘传宇、陈澍、乔海波、郭旸、杨剑浩、江琦、程海旭、黄英杰、隋涛。 YD/T 3797.1—2021 云服务用户数据保护能力评估方法 第1部分：公有云 1 范围 本标准规定了公有云云计算服务提供者在提供云计算服务时应具备的用户数据安全保护能力要求 和评估方法进行规范，包括事前防范能力、事中保护能力和事后追溯能力。 本标准适用于第三方机构对公有云云计算服务提供者的云计算服务用户数据安全保护能力审查和 评估提供参考，也为公有云云计算服务提供者的用户数据安全保护能力建设提供参考。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标 准。凡是不注日期的引用文件，其最新版本(包括所有的修改版)适用于本标准。 GB/T 32400—2015 信息技术云计算概览与词汇 YD/T1796—2018 云服务用户数据保护能力参考框架 3 术语和定义 下列术语和定义适用于本文件。 3.1 公有云 public cloud 云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模型。 [GB/T 32400—2015, 定义3.2.33] 3.2 云服务用户数据 cloud service user data 云计算服务用户在使用云计算服务过程中上传、存储、传输、处理和产生的数据，如虚拟机镜像文 件、代码、对象文件、数据库，用户鉴别信息、用户日志等。