GB_T 32921-2016 信息安全技术 云服务信息安全控制措施指南（等同 ISO 27017_2015）.docxVIP

GB/T32921-2016信息安全技术云服务信息安全控制措施指南（等同ISO27017:2015）

前言

本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。

本标准等同采用ISO/IEC27017:2015《信息技术安全技术云计算服务信息安全控制实践指南》，在全部技术条款、安全控制要求、体系逻辑与管控准则上与国际标准完全一致，仅依据我国国家标准编制规范进行规范性编辑，无任何技术性删减、修改与增补，实现了国际云计算通用安全控制标准的等效转化。本标准为国内公共云计算服务全场景安全管控提供统一、权威、可落地的合规依据，补齐了云服务通用安全标准化管控短板。

云计算架构依托虚拟化、资源池化、多租户共享、动态弹性调度、远程运维、分层服务交付等核心技术，重构了传统信息化建设与运营模式，广泛应用于政企、金融、通信、互联网、制造业等各行各业。相较于传统本地机房架构，云服务模式打破了物理边界固定、资源独占、运维本地化的安全管控形态，衍生出多租户数据混存、虚拟资源复用、边界动态变化、运维权限集中、服务分层交付、跨主体协同等新型安全风险。传统信息安全控制措施无法适配云场景动态化、共享化、虚拟化的安全特性，存在管控失效、边界模糊、责任不清、措施不匹配等问题。

本标准基于ISO/IEC27001、ISO/IEC27002通用信息