YDT 4562-2023电信网和互联网云服务数据安全评估指南.pdf

ICS 35.020 CCS L 00 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD /T XXXXX—XXXX 电信网和互联网云服务数据安全评估指南 The guidance for telecommunication networks and Internet cloud service data security (报批稿) - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国工业和信息化部 发布 YD/T XXXX—XXXX 前 言 本文件按照GB/T 1.1—2020 《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是“电信网和互联网数据安全”系列标准之一。该系列标准预计结构及名称如下： a) 《电信网和互联网数据安全通用要求》 b) 《电信网和互联网数据安全评估规范》 c) 《电信网和互联网数据安全风险评估实施方法》 d) 《电信网和互联网 云服务数据安全评估指南》（本标准） 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、阿里云计算有限公司。 本文件主要起草人：郭建南、魏薇、张媛媛、严敏瑞、耿涛、莫若。 3 YD/T XXXXX—XXXX 电信网和互联网云服务数据安全评估指南 1 范围 本文件规定了对基于公有云、混合云为电信网和互联网提供服务的云服务商进行数据安全评估 的评价指标和评估要求。 本文件适用于为电信和互联网领域云服务商保障数据安全提供参考，也适用于第三方机构对电 信和互联网云服务商数据安全保障能力进行检测和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用 文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件。 GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 35274-2017 信息安全技术 大数据服务安全能力要求 YD/T 3802-2020 电信网和互联网数据安全通用要求 3 术语和定义 GB/T 35273-2020、GB/T 31168-2014、GB/T 31167-2014 确立的以及下列术语适用于本文件。 云计算服务 cloud computing service 以云计算模式通过特定接口或控制台对外提供的一种或多种资源服务的网络产品。 注：本文件中云计算服务简称云服务。 云服务商 cloud service provider 为个人、组织提供云计算服务的企事业单位。云服务商管理、运营支撑云计算服务的计算基础 设施及软件，通过网络将云计算服务交付给用户。 云服务商数据 cloud service provider data 云服务提供商控制的一类数据，如云计算平台的计算、存储、网络等资源的统计数据。 注：云服务商数据包括但不限于云资源配置和使用状况信息。关于云服务的计算、存储和网络 资源分配，完整的数据中心