《信息安全技术 云计算服务安全指南-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 《信息安全技术 云计算服务安全指南》是国家标准化管理委员会2019年 下达的信息安全国家标准修订项目，国标计划号为：31167-XXXX。该标准编制工 作由四川大学牵头，收到参与修订申请书的单位包括中电数据服务有限公司、神 州网信技术有限公司、陕西省信息化工程研究院、中国电子科技网络信息安全有 限公司、国家信息技术安全研究中心、阿里云计算有限公司、杭州安恒信息技术 股份有限公司、北京安信天行科技有限公司、中国网络安全审查技术与认证中心、 华为技术有限公司、网神信息技术 （北京）股份有限公司、上海观安信息技术股 份有限公司、陕西省网络与信息安全测评中心、深圳海云安网络安全技术有限公 司、启明星辰信息技术集团股份有限公司、深圳腾讯计算机系统有限公司、国家 工业信息安全发展研究中心、公安部第三研究所、北京信息安全测评中心、华信 咨询设计研究院有限公司、中电长城网际系统应用有限公司、北京天融信网络安 全技术有限公司、联想 （北京）有限公司、北京神州绿盟科技有限公司、中国信 息安全测评中心等单位。 1.2 主要工作过程 标准修订项目组通过半年多的会议研讨、邮件交流、独立和集中修改等方 式，共同编制了《信息安全技术 云计算服务安全指南》标准修订草案。修订项 目组不断壮大，共同努力，形成了6个主要版本和若干标准编制组内部讨论的版 本，最后形成了目前的标准修订草案。标准编制组开展的主要工作如下： 1) 2019年01月31 日，在原有标准制定工作组的基础上，成立标准修订工 作组，由四川大学陈兴蜀教授主持召开项目启动在线视频会议。与会专 家就标准项目申报工作、编制工作、标准内容、项目成果形式等进行交 流。 2) 2019年02月19 日，在贵州大厦镇远厅召开研讨会。与会专家就术语定 义、数据和业务分级、退出云服务和迁移的指导、安全风险管理、服务 水平协议等专题进行讨论，川大统筹标准申请工作所需材料撰写工作。 3) 2019年3月至2019年8月，就标准的应用情况，展开广泛调研。在调 研过程中，着重调研美国FedRAMP、ISO/IEC、ITU、美国国防部、云计 1 算安全联盟等相关标准及其应用情况，了解国内外有关云计算安全管理 政策、要求、过程等最新成果，供本项目工作借鉴。 4) 2019年09月29 日，由四川大学陈兴蜀教授主持召开在线视频会议，根 据之前研讨会中初步明确的问题以及川大修改过程发现的问题进行讨 论，并对准修订任务进行分工。 5) 2019年10月08 日，由陈兴蜀教授主持召开在线视频会议。首先由川大 王起旭博士介绍标准修改思路及修改内容、各成员单位反馈的修改意见 和建议汇总表。随后，与会专家就标准内容及多项重要议题展开讨论， 形成标准修改版本V1.0。 6) 2019年10月21 日，在北京北航致真大厦光明顶会议室召开研讨会。就 标准修改版本V1.0进行讨论，与会专家提出了很多宝贵的修改意见和建 议，依据专家提出的建议形成标准修改版本V2.0。 7) 2019年10月25 日，在北京召开 “标准”专家审查会，与会专家认真审 查了 “标准”草案和修订工作，充分肯定标准修订工作并提出少量修改 意见。评审专家一致认为标准修订内容充实、语言较规范、内容安排合 理，对完善我国云计算服务的安全管理、支撑云计算服务安全评估工作 的开展具有重要意义。 8) 2019年10月26 日，由陈兴蜀教授主持召开在线视频会议。首先由王启 旭博士介绍评审专家修改意见，随后修订组内专家展开讨论，并达成共 识，由川大负责形成标准修改版本V3.0。 9) 2019年11月30 日，由陈兴蜀教授主持，在成都科华苑宾馆会议室召开 标准修订及专题研讨会。会上，由王启旭博士介绍标准修订的具体内容， 以及对FedRAMP评估对象的调研报告，随后针对31167在应用中的问题 以及31