《信息安全技术 云计算服务安全能力要求-编制说明》.pdfVIP

一、工作简况 1、任务来源 本标准和GB/T 31167-2014 《信息安全技术 云计算服务安全指南》是我国 首批发布的云计算服务安全国家标准，有效地支撑了党政部门云计算服务安全审 查工作，从技术和管理两个方面分别阐述了云计算服务安全要求。随着云计算服 务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样 化，逐步发现标准存在审查工作量大、周期长，责任划分难度增加、云服务安全 标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题，为支 撑审查工作的开展，有效指导云服务商建设安全的云计算平台，迫切需要结合新 趋势、新问题对本标准进行修订，并做好与相关标准的衔接。 2019年7 月，国家互联网信息办公室等发布 《云计算服务安全评估办法》， 规定参照国家标准 《云计算服务安全能力要求》、《云计算服务安全指南》，对面 向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。 根据全国信息安全标准化技术委员会2019 年下达的国家标准制修订计划： 《信息安全技术 关键信息基础设施安全防护能力评价方法》，该标准由交通运输 信息中心负责承办，由全国信息安全标准化技术委员会归口管理。 2、主要起草单位和工作组成员 本标准由中电数据服务有限公司牵头，四川大学、中国电子技术标准化研 究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信 息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测 中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术 有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份 有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾 讯计算机系统有限公司、京东云计算 （北京）有限公司、浙江蚂蚁金服小微金融 服务集团股份有限公司、武汉理工大学、上海市方达 （北京）律师事务所等单位 共同参与起草。 3、主要工作过程 1 2018 10 12 2018 （） 年 月至 月，在全国信安标委 年第二次会议周上做标 准修订报告，会后开展云计算标准、技术和产业以及党政部门云服务安全管理实 1 践调研 （2）2019年1月至2 月，研究国内外云计算安全相关标准，为本标准的编 制奠定基础，包括：对比GB/T 31168-2014 与网络安全等级保护2.0；GB/T 31168-2014 与FEDRAMP安全基线的对照表（NIST 80053）分析比较；FEDRAMP 中、高级安全基线比较表高级要求新增条款；以及CSA 云安全指南重点内容摘 要等 。 （3）2019年2 月至4 月，成立编制组，召开项目申报启动会，讨论明确标 准修订思路；在编制组范围收集标准反馈意见，组织3 次标准研讨会；形成标准 草案。 （4）2019年4 月，在全国信安标委2019 年第 1次会议周上做立项汇报， 征集标准修订意见。 （5）2019年5 月至6 月，召开专家研讨会，请云服务安全审查和第三方机 构技术专家对标准草案提出意见，根据反馈意见修改完善标准草案。 （6）2019年7 月至8月，征集参与过云服务安全审查工作的云服务商反馈 意见，包括阿里云、华为、电信、浪潮、曙光、腾讯、金山云、京东云、未来国 际、深信服等，根据反馈意见修改完善标准草案。 （7）2019年9 月，通过立项审批，公开征集标准参编单位。 （9）2019年 10 月，召开正式立项后的标准项目启动会和专家评审会，根 据反馈意见修改完善标准草案，在全国信安标委2019年第2 次会议周上做标准 修订工作汇报，经组内投票同意转征求意见稿。 （10）2019年11月，在北京组织编制组研讨会，修改完善标准内容；在成 都四川大学组织的云计算安全国家标准和相关问题研讨会上，就当前的一些关键 问题进行讨论并征求专家意见。 二、标准编制原则和确定主要内容的论据及解决的主要问题 1、标准编制原则 一是先进性原则。充分吸收已有云安全相关标准，本标准在修订过程中充 分参考了国际、国内有关云计算安全的先进标准和技术规范，对美国Fedramp 云安全基线要求、NIST 800-53、