云计算信息技术服务规范.docxVIP

ICS03.080.01CCSN02

HBSGX

湖北省光电显示行业协会团体标准

T/HBSGX006—2025

云计算信息技术服务规范

Cloudcomputinginformationtechnologyservicespecification

2025-12-25发布2025-12-25实施

湖北省光电显示行业协会发布

I

T/HBSGX006—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由美华世纪（成都）科技有限公司提出。

本文件由湖北省光电显示行业协会归口。

本文件起草单位：美华世纪（成都）科技有限公司、四川常乐帮网络科技有限公司、成都智为铭川科技有限公司、四川楠楠智羽科技有限公司、成都肖先生科技有限公司

本文件主要起草人：陈洁、邓涛、吴志华、吴志毅、黄秋明

T/HBSGX006—2025

1

云计算信息技术服务规范

1范围

本文件规定了云计算信息技术服务的信息安全管理、数据保护和隐私保护、服务可用性和性能、服务的合规性以及服务级别协议的要求。

本文件适用于云计算信息技术服务的应用与验收。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20273信息安全技术数据库管理系统安全技术要求

GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就

绪可用软件产品（RUSP）的质量要求和测试细则

GB/T36326-2018

信息技术云计算云服务运营通用要求

GB/T37741-2019

信息技术云计算云服务交付要求

GB/T42493-2023

管理咨询服务指南

3术语和定义

GB/T36326-2018界定的以及下列术语和定义适用于本文件。

3.1

风险评估riskassessment

风险评估是一个系统性的过程，用于识别、分析和评估与特定活动、项目或决策相关的潜在风险3.2

云计算cloudcomputering

通过互联网使用公共的计算资源来提供各种服务，从而帮助企业实现更高效的数据处理和资源利用。

4信息安全管理

4.1信息安全政策

4.1.1云服务提供商应制定明确的信息安全政策，明确组织对信息安全的承诺和期望。

4.1.2数据库管理的安全应满足GB/T20273第7章要求。

4.2风险评估和处理

云服务提供商应定期进行风险评估，确定可能出现的威胁和漏洞，并采取适当的控制措施来减轻或消除风险。

4.2.1风险识别

云服务提供商需要识别与云计算服务相关的潜在风险，包括技术风险、操作风险、法律合规风险等。对于每个风险事件，要明确其可能性和影响程度。

4.2.2风险分析

分析已识别的风险事件，了解其成因、发生的环境和影响，并对其进行分类和排序。重点分析对系统机密性、完整性、可用性以及用户数据隐私等方面的影响。

4.2.3风险评估

T/HBSGX006—2025

2

根据风险识别和分析的结果，对每个风险事件的风险等级进行评估。通常采用定性或定量方法，确定风险的优先级和紧急度，以便针对不同风险采取相应的控制策略。

4.2.4风险控制策略制定

根据风险评估的结果，制定相应的风险控制策略。这包括确定适当的防范控制措施，如访问控制、加密技术、网络安全设备等，以及实施监控和审计机制。

4.2.5风险处理

根据已确定的风险控制策略，执行相应的控制措施，并建立适当的风险处理机制。这包括监测风险状况，进行预警和追踪，及时处理风险事件，减轻或消除其影响。

4.2.6风险监督与改进

定期对已实施的风险控制措施进行监督与评估，确保其有效性。同时收集和分析相关数据，进行持续改进和优化，提高整体的信息安全水平。

4.3安全组织架构

4.3.1云服务提供商应建立与信息安全相关的组织架构，明确安全责任与权限，并设立专业的信息安全团队。

4.3.2统架构的功能设计应满足GB/T37741-2019中第6章的规定。

4.4资产管理

云服务提供商应识别和管理关键的信息资产，包括标记、分类、存储和保护数据，在数据使