（高清版）DB13∕T 3000-2019 信息安全技术 电子政务云安全保护技术与管理规范.docxVIP

ICS35.030L09

DB13

河北省地方标准

DB13/T3000—2019

信息安全技术电子政务云安全保护技术与管理规范

2019-07-04发布2019-08-01实施

河北省市场监督管理局发布

DB13/T3000—2019

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4电子政务云安全保护技术要求 1

5电子政务云安全保护管理要求 10

参考文献 23

DB13/T3000—2019

II

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由河北省工业和信息化厅提出并归口。

本标准起草单位：河北省信息安全测评中心、杭州华三通信技术有限公司、中国联合网络通信有限公司河北省分公司、衡水市人民政府政务服务和公共资源交易管理办公室、河北省委党校（河北行政学院）、河北工程大学信息与电气工程学院。

本标准主要起草人：牛占冀、陶卫江、张凤臣、闫利平、黄亮、刘艳、姜彧、王辙、蒋啸龙、胡金岭、梁志、孟宪辉、龙涛、李鹏、高凡、王淑婧、李娜、李陶钧、李韦、王子强、陈永军、姚会亭、苏桂敏、郑丹、种健、黄远。

DB13/T3000—2019

III

引言

为了规范云服务商、云租户和监管部门的行为，减少安全威胁，依据相关法律、法规和标准，制定本标准。

电子政务云的安全管理要求分为技术要求和管理要求。本标准在GB/T22239—2008等技术类标准的基础上，根据现有技术的发展水平，提出和规定了电子政务云的最低安全技术要求和管理要求，即技术与管理规范。本标准即适用于电子政务云的安全测评，又适用于指导电子政务云的安全建设和管理，以及电子政务云安全主管部门的监督检查。

DB13/T3000—2019

1

信息安全技术电子政务云安全保护技术与管理规范

1范围

本标准规定了电子政务云安全保护物理安全、网络安全、主机安全、应用安全、数据安全五个方面的技术要求和安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面的管理要求。

本标准适用于相关组织和机构电子政务云安全保护的管理指导和评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T

31167-2014

信息安全技术

云计算服务安全指南

GB/T

31168-2014

信息安全技术

云计算服务安全能力要求

GB/T

22239-2008

信息安全技术

信息系统安全等级保护基本要求

3术语和定义

GB/T31167-2014、GB/T31168-2014和GB/T22239-2008中界定的及以下术语和定义适用于本文件。3.1

安全保护能力securityprotectionability

系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。3.2

电子政务云E-governmentcloud

电子政务云结合了云计算技术的特点，通过信息化手段在政务上实现各种业务流程办理和职能服务，为政府各级部门提供可靠的基础IT服务平台。

3.3

电子政务云安全保护能力

应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能，应符合国家网络安全等级保护制度的有关要求。

4电子政务云安全保护技术要求

4.1物理安全

4.1.1物理位置的选择

DB13/T3000—2019

2

本项目包括但不限于：

a)机房场地应选择在具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；

c)确保机房位于中国境内；

d)确保云计算服务器及运行关键业务和数据的物理设备位于中国境内；

4.1.2物理访问控制

本项目包括但不限于：

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。

d)重要区域应配置电子门禁系统，控制、鉴别和记