（正式版）-B-T 31167-2023 信息安全技术 云计算服务安全指南.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T31167—2023

代替GB/T31167—2014

信息安全技术云计算服务安全指南

Informationsecuritytechnology—Securityguidanceforcloudcomputingservices

2023-05-23发布

2023-12-01实施

国家市场监督管理总局

国家标准化管理委员会

发布

I

GB/T31167—2023

目次

前言 Ⅲ

引言 V

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 3

5云计算服务安全管理 3

5.1概述 3

5.2采用云计算服务的安全管理责任 3

5.3云计算服务安全管理基本原则 4

5.4云计算服务生命周期安全管理 4

6规划准备 5

6.1概述 5

6.2数据分类 5

6.3业务分类 5

6.4安全能力级别 6

6.5需求分析 7

6.6形成决策报告 10

7选择云服务商与部署 10

7.1云服务商安全能力要求 10

7.2选择云服务商 10

7.3合同中的安全考虑 11

7.4部署 12

8运行监管 13

8.1概述 13

8.2云服务商和客户运行监管的角色与责任 13

8.3客户自身的运行监管 14

8.4对云服务商的运行监管 15

9退出服务 16

9.1退出要求 16

9.2确定数据移交范围 16

9.3验证数据的完整性 17

9.4安全删除数据 17

附录A(资料性)安全责任划分示例 18

附录B(资料性)云计算安全风险 21

参考文献 23

Ⅲ

GB/T31167—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件代替GB/T31167—2014《信息安全技术云计算服务安全指南》,与GB/T31167—2014相

比，除结构调整和编辑性改动外，主要技术变化如下：

——更改了适用范围，由“政府部门”更改为“客户”(见第1章，见2014年版的第1章);

——增加了对GB/T32400—2015(见第3章)、GB/T36325—2018(见7.3.3)、GB/T37972—2019

(见8.1)的规范性引用；

增加并更改了部分术语(见第3章，2014年版的第3章);

——增加了“缩略语”一章(见第4章);

——删除了“云计算的概述”(见2014年版第4章);

——增加了“云能力类型”和“云服务类别”的引用(全文);

——将2014年版中的“5.2云计算安全风险”作为资料性附录(见附录B);

——将2014年版5.3内容作为“5.2.1角色及职责”章节内容，并增加“云服务安全提供商”作为云

计算服务安全管理的新角色(见5.2.1);

——增加了“安全责任划分”的指导和示例(见5.2.2和附录A);

——将“审查”更改为“评估”,与相关文件统一名称(全文);

——删除了“效益评估”(见2014年版的6.2);

——更改了2014年版“6.3政府信息分类”的标题和内容(见6.2);

——删除了“敏感信息”和“公开信息”相关的技术内容(见2014年版的6.3.2、6.3.3);

——将标题“政府业务分类”更改为“业务分类”,扩大了业务范围(见6.3,见2014年版的6.4);

——更改了业务分类中关键业务的条件(见6.3.4,见2014年版的6.4.4);

——删除了“优先级确定”的内容(见2014年版的6.5);

——更改了安全保护要求，提出了三级安全能力级别(见6.4,见2014年版的6.6);

——更改了2014年版中的图3,增加了关键业务类型和高级安全能力(见图2);

——删除了“6.7.1概述”(见2014年版的6.7.1);

——更改了2014年版中“6.7.2服务模式”标题及内容，由服务模式划分控制范围更改为通过能力

类型划分控制范围(见6.5.1);

——更改了2014年版中的图4,将服务模式改为基本云服务能力类型(见图3);