《信息安全技术 信息系统等级保护安全设计技术要求 part2_对采用云计算技术的信息系统的扩展设计要求 -编制说明》.pdfVIP

一、 工作简况 1.1任务来源 《信息安全技术 信息系统等级保护安全设计技术要求 第2部分：对采用 云计算技术的信息系统的扩展设计要求》是国家标准化管理委员会 2015年下达 的信息安全国家标准制定项目，国标计划号为：GB/T25070.2，由阿里云计算有 限公司承担，参与单位包括国家信息中心、中国科学院信息工程研究所、公安部 第一研究所、安恒科技有限公司、绿盟科技有限公司、太极集团等单位。 1.2主要工作过程 1)准备阶段 2013年12月，在公安部11局的统一领导下，阿里云计算有限公司同协作 单位共同成立标准编写项目组。 2）调研阶段 标准起草组成立以后，项目组收集了大量移动终端相关的国内外相关标准， 进行了研讨。同时项目组参考了国内等级保护相关标准，明确采用云计算技术系 统的功能框架、分析云计算平台系统面临的安全威胁，分析风险场景，对云计算 系统的等级保护安全需求、安全风险进行了充分讨论。为了真实了解行业内的安 全要求，项目组也对行业内的企事业单位进行了调研。 3）编写阶段 2014年1月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关 领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。 标准起草组按照分工，对标准各部分进行了编写，形成了《对采用云计算技术的 信息系统的扩展设计要求》（草案）。 4）首次征求专家意见 2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标 准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家 意见，对标准进行了修改。 5）第二次征求专家意见 2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专 家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。同时专家 认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委。 6）系列标准统一修订并提交安标委立项阶段 2015年4月，公安部一所组织等级保护设计要求系列标准起草组进行统一 研讨，会上针对系列标准，制订了统一模板。同时要求根据安标委的统一部署， 将标准名称修改为 《信息安全技术 信息系统等级保护安全设计技术要求 第2 部分：对采用云计算技术的信息系统的扩展设计要求》。会后项目组根据相关要 求，对标准进行了修订；并提交安标委进行标准修订项目立项。 7）国家标准编制及专家评审 2015年7月至今阿里云计算有限公司多次组织组内单位进行标准研讨和修 订，并且于2016年5月、7月分别两次组织行业用户专家、安全专家对该标准 进行评审讨论，并根据专家评审意见对标准进行了修订。 8）国家标准草案到征求意见稿评审 2016年10月在成都召开全国信息安全标准化大会，WG5组组长及与会专家 听取了标准牵头单位代表对该标准的进展情况及主要工作内容的汇报，通过专家 提问、质询和解答，形成意见该标准按照专家意见尽快完成进行修订后形成征求 意见稿。 2016年10月在全国安全标准化成都会议上明确对云计算保护系列标准进 行名称，阿里云提交了该标准的更名申请，标准更名为 《信息安全技术 网络安 全等级保护安全设计技术要求 第2部分：云计算安全要求》。 2016年11月13 日和28 日标准牵头单位组织召开标准编制组核心成员根据 专家评审意见进行集中修订，完成征求意见稿。 二、编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： 1）科学性与实用性相结合的原则 科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对云 计算系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与实 际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就是 理论与实践相结合在标准体系研究中的具体体现。 2）先进性与开放性相结合的原则 在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分 考虑到云计算系统未来发展的方向和特点。但同时也要考虑到目前的需求和技术 水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。 3）安全性和可用性相结合的原则 本规范用来指导和规范云计算系统等级保护安全设计，是安全范畴的规范。 但是规范在起草过程中不能一味地追求绝对安全，而应根据当前云计算系统的实 际情况，构建保证业务系统可用性基础上的适度安全体系。 2