国家标准《信息安全技术 云计算服务安全能力要求》编制说明.pdfVIP

一、工作简况

1.1任务来源

为加快建立信息安全审查制度，工业和信息化部拟率先展政府部门云计

算服务安全审查。考虑到我国缺少云计算信息安全标准，本着急用先上的原则，

工业和信息化部信息安全协调司于2013年3月启动了制定《信息安全技术云计

算服务安全能力要求》（以下简称《能力要求》）的任务。2013年8月，《信息安

全技术云计算服务安全能力要求》正式在全国信息安全标准化技术委员会立项。

此外，另外一项支撑性的标准《信息安全技术云计算服务安全指南》（以下简称

《指南》）已在2012年始由四川大学牵头编制，上述两项标准是政府部门云计

算服务安全审查的基础规范。

《能力要求》由中国电子信息产业集团有限公司所属的中电信息技术研究

院牵头，四川大学、中国电子技术标准化研究院、中国电子科技集团公司第二十

研究所、工业和信息化部电子科学技术情报研究所、中国电子信息产业发展研究

院、中电长城网际系统应用有限公司等单位共同参与起草。

1.2主要工作过程

1、2013年3月22日至4月3日集（中封闭）：标准编制组成立，广泛调

研并重点翻译国内外云计算安全相关标准，为本标准的编制奠定基础

封闭期间，编制组广泛研究了国内外云计算安仝要求与管理规范，包括：

1）美国联邦系统安全控制的建议N（IST800-53）；

2）美国联邦风险及授权管理项目F（edRAMP）云计算安全基线要求；

3）国际云安全联盟《云安全指南C（SAGuide）》v3.0；

4）国际标准ISO27017《基于ISO/IEC27002使用云计算服务的安全指南》

（草案）；

5）欧洲网络与信息安全局E（NISA）发布的《云订算信息保障框架》等。

其中，编制组详细翻译，并逐条讨论校对了F《edRAMP云计算安全基线要

求》，原文中的安全控制对应NIST800-53第3版。2013年2月，NIST发布了第

4版草案，与第3版相比增加了大量关于供应链安全、信息流控制的内容。为此，

编制组在整理FedRAMP基线时同时列出了NIST800-53第3版及其对应的第4

版变化。对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。

2、2013年3月29日至3月30日标（准研讨会）：初步确定标准题目、适

用范围、标准框架

参加全国信息安全标准化技术委员会在成都组织召的“云计算安全标准

研讨会”，汇报了关于美国联邦信息安全风险管理框架的研究成果，就《能力要

求》的适用范围和标准框架进行了初步的梳理。汇报内容得到与会领导和专家的

肯定。

3、2013年4月7日至4月19日（集中封闭、标准研讨会、中美信息安全

技术标准圆桌研讨会）：初步形成标准草案，小范围征求意见

4月9日至4月11日，编制组深化上一段研究成果，分成三个小组开展

工作：1）深入研究NIST800-53第四版对比第三版的更新之处，适当采纳

Fedrmp基线之外的安全措施，以充实第一段汇总的Fedrmp安全基线翻译；

2）研究SC27制定的TSO/TF.C27017《基于ISO/1EC27002使用云计算服务的安

全指南》草案，特别是其中关于安全管理的要求；3）研究CSA安全指南中的

技术要求。在此基础上，对《FedRAMP云计算安全基线要求》进行了补充，向

中国移动研究院、中金数据、未来国际等云服务商征求意见。

4月12日，组织内部研讨会，以F《cdRAMP云计算安全基线要求》为基

础，初步确定了云计算安全要求的分类；4月13R-14日，编制组向工信部、

安标委的领导和专家作了汇报，确定了标