《信息安全技术 云计算服务安全能力评估方法》编制说明.docVIP

国家标准材料

PAGE7

国家标准《信息安全技术云计算服务安全能力评估方法》（征求意见稿）编制说明

工作简况

1.1任务来源

根据全国信息安全标准化技术委员会2023年下达的国家标准制修订计划建议，《信息安全技术云计算服务安全能力评估方法》由中国电子技术标准化研究院负责承办，国标计划号T-469。本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

云计算是信息技术产业发展的战略重点，国外政府重视云计算在政府部门的应用以及云计算节约资源服务便捷的优势，通过制定云计算发展战略和相关政策法规，为云计算的良性发展提供保障。2010年12月，美国联邦CIO发布《联邦信息技术管理改革25点实施计划》，明确提出联邦政府“云技术”三步走的战略。2011年2月，美国总统奥巴马发布《联邦云计算战略》，同年12月，联邦预算管理局发布《云计算环境信息系统安全授权》，正式启动《联邦风险及授权管理计划（FedRAMP）项目，要求进入政府采购清单目录的云服务商，必须经过FedRAMP的认证。欧盟也在云计算方面提出了云战略等，时至今日，云计算已经在美国、欧盟、日本等国家大量普及。美国也出台了虚拟化安全、云计算访问控制、云计算安全与隐私等10余份文件，欧盟也发布了云计算风险评估、云计算安全框架等多份文档。国际标准化组织ISO/IECJTC1SC27也先后发布了ISO27017和ISO27018等国际标准，规范云计算安全使用。

目前，云计算技术已经普遍应用于现今的互联网服务中，金融云、教育云、医疗云等应用形式多种多样，为规范国内云计算服务的安全使用，2019年7月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部等四部门联合发布了《云计算服务安全评估办法》（2019年第2号），要求参照国家有关网络安全标准，对为党政机关、关键信息基础设施运营者提供云计算服务的云平台开展安全评估工作，以提高云计算服务平台的安全性、可控性，保障国家安全和社会稳定。2020年4月13日，国家互联网信息办公室等12部委联合发布了《网络安全审查办法》中也提出对关键信息基础设施运营者采购云计算服务是否可能带来国家安全风险进行分析，影响或可能影响国家安全的应进行网络安全审查，本标准是落实上述规定的主要支撑标准，目前已经在云计算服务安全评估中广泛使用。

2023年，GB/T31168-2023《信息安全技术云计算服务安全能力要求》标准发布，该标准修订了2014版。本标准原来版本即GB/T34942-2017版为依据GB/T31168-2014版进行的评估，现根据GB/T31168-2023对GB/T34942-2017进行修订。

1.3起草过程

标准制定的主要工作过程如下：

1）立项申请

2022年11月至2023年3月，标准编制团队启动标准修订工作。编制组对国内外云计算服务安全评估的相关政策、标准及目前存在的问题进行了研究。按照信安标委2023年国家标准项目申报要求提交了2023年立项国家标准制定项目立项申请。

2023年5月，标准编制组在信安标委会议周上进行立项汇报并通过。会后，根据工作组成员单位专家意见组织编制组讨论并继续完善草案内容。

2）草案完善

2023年8月，根据《全国信息安全标准化技术委员会2023年第一批网络安全国家标准立项的通知》（信安字[2023]17号）发布的通知，本标准正式获批为2023年网络安全标准修订项目。

2023年9月至10月，征集标准编制单位，共收集23家单位提交的申请材料并对申请的参编单位进行了遴选。同期征求相关专家意见，召开编制组工作会，对标准草案进行进一步修改完善。

2023年11月，在全国信息安全标准化技术委员会举办的武汉标准周上，标准编制组在大数据安全特别工作组进行了汇报，与会专家讨论投票后，工作组形成转征求意见稿的会议纪要。

征求意见稿

2023年11月，标准编制组根据标准周上与会专家意见修改完善，形成征求意见稿第一版。2023年12月，根据责任专家和责任编辑意见修改完善。

2024年1月25日，标准编制组参加了信安标委秘书处组织的征求意见稿专家审查会，并通过专家审查。会后，编制组根据与会专家意见对标准进行了修改完善。

标准编制原则和确定主要内容的论据及解决的主要问题

2.1编制原则

一是充分吸收已有云安全相关标准。《评估方法》充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前，《评估方法》已将美国FedRAMP云安全测试用例、NIST800-53A、ISO/IEC27017、等级保护测评等相关标准的长处进行了吸收，充分考虑了相关的测试评估方法。

二是重点关注安全评估方法，不涉及安全评价。《评估方法》是在已发布国标《信息安