《信息安全技术 云计算服务运行监管框架-编制说明》.pdfVIP

一、任务来源 2016年6月，在云计算及大数据特别工作组讨论会议上，一致同意编制《信 息安全技术 云计算服务运行监管框架》。本标准为自主制定标准，主办单位为四 川大学，参与起草的单位有中国电子技术标准化研究院、西安未来国际信息股份 有限公司、北京安信天行股份有限公司、阿里巴巴 （北京）软件服务有限公司、 中国移动通信集团公司、国家信息安全工程技术研究中心、、阿里云计算有限公 司、中国软件评测中心、腾讯云计算 （北京）有限责任公司、华为技术有限公司、 中国信息安全测评中心、中国电子科技网络信息安全有限公司、中电长城网际系 统应用有限公司、陕西省信息化工程研究院、广州赛宝认证中心服务有限公司、 等单位，归口单位为全国信息安全标准化技术委员会 （简称信息安全标委会， TC260）。 二、 编制背景 美国在大力推广云计算服务的过程中，于2011年12月引入了FedRAMP联 邦风险及授权管理计划，提供一个标准化的方法来对云计算产品和服务进行安全 评估、授权与持续监管。在2012年7月，FedRAMP发表了 《持续监管策略与指 南》，这项指南要求云服务提供商必须持续监控提供的云服务，检测系统的安全 控制措施、变更管理以及应急响应，保证基于风险的策略能够准确地制定。 同时，云安全联盟CSA也提出了云计算服务第三方审计方面的初步框架。 我国在2014年也发布了首批云计算服务安全方面的标准。 虽然目前在云计算服务安全方面的标准研究受到广泛重视，但在云计算服 务持续监管方面，国际和国内都还缺乏相关方面的框架、角色、责任等的标准， CSA虽然提出了审计相关的框架，但没有具有可操作性的标准或规范推出。我国 在持续监管的规范及标准方面的研究也还是空白。 我国在2014年9月3 日发布了 《云计算服务安全指南》和 《云计算服务安 全能力要求》两项标准，并在2015年4月1 日正式实施。全国信息安全标准化 技术委员会秘书处在中央网信办指导下，组织开展了云计算服务安全审查标准应 用试点工作，对国内的华为、曙光、浪潮和阿里云等多家云服务提供商开展了网 络安全审查。《云计算服务安全指南》和 《云计算服务安全能力要求》两项标准 1 规范了采购云服务的安全管理及能力要求，对政府部门采用云计算服务提出了安 全的技术和管理要求，要求政府部门的用户必须采用通过安全审查的云计算服 务。《云计算服务安全指南》和 《云计算服务安全能力要求》两项标准促进了云 计算在政府部门的安全应用。 三、编制原则 调研国内外已有云计算服务的实现技术、架构和运行机制；调研国内外与 云计算服务持续监管相关的标准、规范、技术等现状；结合我国国情，分析云计 算服务持续监管中可能涉及的角色及在持续监管中监管职责的界定；举办国内学 术交流会，与相关企事业单位、政府机构的信息安全专家开展技术交流。 本项目将从云计算服务持续监管框架进行持续监管标准体系的研究，主要 包括以下内容： 云计算服务持续监管相关术语的定义和缩略语； 云计算服务持续监管的框架，其中包括持续监管的角色、目的、内容、活 动及责任； 云计算服务持续监管的过程，其中包括安全控制监管、变更管理监管及应 急响应监管； 云计算服务持续监管的实现机制，其中主要介绍自动化机制； 四、工作过程简要说明 1、2016年6月，在云计算及大数据特别工作组讨论会议上，一致同意编制 《云计算服务运行监管框架及技术规范》，对国内外云计算服务持续监管方法、 应用、政策和标准进行调研分析，确定云计算服务持续监管标准化需求。 2、2016年7月初，成立正式的云计算服务持续监管标准编制组，由四川大 学牵头，中国电子技术标准化研究院、西安未来国际信息股份有限公司、北京安 信天行股份有限公司、阿里巴巴集团、中国移动、国家信息安全工程中心、华为、 阿里云、中国软件评测中心、长城网际、中国信息安全测评中心、等单位组成标 准编制组。 3、2016年8 月15 日，在成都星辰航都国际酒店明志厅召开第一次标准编 制组工作会议，对标准编制背景、标准化内容等进行了深入讨论，确定了标准编 制工作机制，确定了标准编制提纲。 2