《信息安全技术 政府网站云计算服务安全指南-编制说明》.pdfVIP

一、任务来源 《信息安全技术 政府网站云计算服务安全指南》是由西安未来国际信息股 份有限公司于2016年5 月申请立项的国家标准项目，2016年7 月中央网信办网 络安全协调局正式下达任务书 “信息安全技术 政府网站云计算服务安全指南”。 “信息安全技术 政府网站云计算服务安全指南”由西安未来国际信息股份 有限公司、阿里云计算有限公司、中国电子技术标准化研究院、北京时代远景信 息技术研究院主要负责起草，北京信息安全测评中心、华为技术有限公司、杭州 安恒信息技术有限公司、北京安信天行科技有限公司、北京京东尚科信息技术有 限公司、国家信息技术安全研究中心、深信服科技股份有限公司、中国电信集团 公司、烽火科技集团有限公司、杭州迪普科技股份有限公司、广州赛宝认证中心 服务有限公司、首都之窗、西北大学等单位共同参与了该标准的起草工作，归口 单位为全国信息安全标准化技术委员会 （简称信息安全标委会，TC260）。 二、主要工作过程 1、2016年3 月至5 月，进行 《政府网站云计算服务安全指南》标准调研论 证，完成标准草案初稿； 2、2016年6 月16 日，全国信息安全标准化技术委员会2016年第一次工作 组会议周，对标准的立项必要性、标准主要内容等进行讨论； 3、2016 年7 月14 日，正式成立标准编制组，召开第一次工作组会议，讨 论标准框架，编写思路，编制分工等事宜，征求专家意见； 4、2016 年8 月29 日，召开第二次工作组会议，重点讨论标准草案第一版 角色定义、角色划分、各阶段技术要求； 5、2016年10 月18 日，西安未来国际信息股份有限公司代表编制组在全国 信息安全标准化技术委员会2016年第二次工作组会议周进行工作汇报，工作组 成员单位对标准工作提出了建议和意见； 6、2016年11月23 日，召开第三次工作组会议，讨论标准草案第二版要求， 重点讨论角色划分与职责定义； 7、2017年3 月3 日，召开第四次工作组会议，讨论标准草案第三版要求， 重点讨论每个阶段的技术要求； 8、2017年4月11 日，全国信息安全标准化技术委员会2017年第一次工作 组会议周，会上各位专家对最新的标准草案内容发表了意见，并提出了宝贵的修 改意见及建议； 9、2017 年4 月28 日，召开第五次工作组会议，讨论标准草案第四版，对 标准全文进行了梳理； 10、2017年6 月14 日，召开第六次工作组会议，讨论标准草案第五版，对 运行管理阶段和反馈意见进行了讨论，对标准题目的修改达成了一致意见，对标 准的内容细节提出了修改建议。 11、2017年6 月26 日，西安未来国际信息股份有限公司邀请相关专家在中 国电子技术标准化研究院会议室对标准进行了评审和研讨，各位专家对草案内容 提出了各自的见解，并提出了合理的意见和建议。 12、2017年6 月28 日，西安未来国际信息股份有限公司代表编制组在大数 据工作组会议上进行汇报，工作组同意形成征求意见稿。 13、2017年7 月，根据修改意见进行了标准草案的修改完善，进行了提交。 三、编制原则和主要内容 2.1 编制原则 《信息安全技术 政府网站云计算服务安全指南》是指导政府和规范政府网 站采用云计算服务的工作流程，以及规定的安全技术和管理措施。在政府部门采 用云计算服务的应用前景下，针对政府网站采用云计算服务所面临的安全风险， 明确安全目标，制定了政府部门采用云计算服务所涉及的角色、角色职责、技术 要求，以指导和规范政府部门采用云计算服务。 本标准遵从国家标准GB/T31167-2014 《信息安全国家标准—云计算服务安 全指南》、GB/T 31168-2014 《信息安全国家标准—云计算服务安全能力要求》、 GB/T 31506-2015 《信息安全技术 政府网站系统安全技术指南》等标准规范， 按照云计算服务生命周期划分政府网站采用云计算服务的四个阶段，明确了各阶 段的技术要求，并对采用云计算服务过程中涉及的四个角色 （包含云服务客户、 云服务商、云客户供应链服务商、第三方服务商）在四个阶段的职责进行了划分。 2.2 主要内容 本标准主要内容分为5个章节，分别针对政府网站采用云计算服务面临的风 险、采用云计算服务的四个阶段过程进行了详细的说明。 本标准规定了政府网站采用云计算服务过程中涉及到的云服务商、云服务客 户、云客户供应链服务商、第三方评估机构四个角色及安全责任，并明确了政府 网站在采