云服务安全管理办法.pdf

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：云服务安全管理办法生效日期：2024-02-25

文件编号：页数1/5生效版本：A0

文件制修订记录

NO制/修订日期修订编号制/修订内容版本页次

12024-02-25-新制订A0

核准审核制订

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：云服务安全管理办法生效日期：2024-02-25

文件编号：页数2/5生效版本：A0

1、目的：

为强化云平台服务的安全管理，切实保障企业云平台安全稳定运行，提高其使用效益，特制

定本办法。

2、适用范围：

适用于公司内部配置及其外部购买的所有云平台服务。

云资源，含云主机、云数据库、云存储、云网络、云安全等

3、管理职责：

信息部：

负责基于公司云平台进行企业信息系统部署、管理维护等管理活动；

负责负责公司云平台的安全管理，支撑上云信息系统和数据资源进行安全管理。

4、管理办法：

4.1安全要求

4.1.1应建立公司云平台安全管理机制，针对企业自身配置的云平台，定期开展网络安全等

级保护评测，针对外购云平台，必须选购国内主要云平台或者运营商的云平台。

4.1.2应定期对云平进行风险评估，定期进行平台巡检、日志审计、数据备份等，定期查看

安全运行报告。

4.2安全控制

公司通过云服务申请、巡检、安全、资源、操作管理等确保云服务的信息安全。

4.2.1云服务申请

使用部门要申请云服务资源时，一般进行内部前置评审，提交使用申请，经相关部门会签之

后，由信息安全管理者代表审批后才能够由云服务主管部门开通云服务资源。涉及信息系统

的部署，需通过开通测试资源，进行入云信息系统的测试和部署，使用部门对测试结果进行

调整，通过后，正式部署上线

4.2.2云平台巡检

云平台主管部门定期巡检云资源使用情况、操作情况等日志记录及审计服务，定期向使用单

位提供监测报表与报告，每年需向公司提交云平台的监测报告。

4.2.3安全管理

使用单位应加强入云信息系统自身的安全管理，至少包括：

建立信息系统运维和安全管理制度；

ISO/IEC27001-2022/ISO20000信息安全管理体系文件范例

文件名称：云服务安全管理办法生效日期：2024-02-25

文件编号：页数3/5生效版本：A0

信息系统日常运行维护管理。例如：应用开发、故障处理、配置变更、安全策略优化、

运行监控等；

信息系统常规安全保障和监控预警工作。例如：操作系统防病毒管理、渗透测试、漏洞

扫描、源代码审计、安全巡检、应急响应等。

当云使用单位出现严重影响云平台安全稳定运行的事件时，云服务主管部门可暂时中断该部

门的云服务并同步通知该部门和管理者代表，事件处理完毕后恢复服务。

4.4资源管理

云服务主管部门每月对使用部门《云服务资源表》进行汇总，同时进行资源变更或系统退出

管理，使用涉及云服务资源不足时，进行内部增加ICT基础设施的资源或外购新的资源。

4.5操作管理

云平台的信息安全事件应急处置应参照公司信息系统信息安全事件应急管理相关规定。

制定公司云平台总体应急预案，并做好预案修订工作，定期组织应急演练。

重大活动和突发事件期间，入云信息系统的运行保障按信息系统应急预案进行处置。

5、记录

《云资源申请表》

《云服务资