GB_T379722019云计算服务运行监管框架(Word版).docx

《GB_T379722019云计算服务运行监管框架(Word版).docx》由会员分享，可在线阅读，更多相关《GB_T379722019云计算服务运行监管框架(Word版).docx（24页珍藏版）》请在第一文库网上搜索。

1、GBT37972-2019中华人民共和国国家标准信息安全技术云计算服务运行监管框架2019-08-30发布，202(H)3-01实施国家市场监督管理总局中国国家标准化管理委员会目录前言3弓言3云工算服务运行监管框架41范围42规范性引用文件43术语和定义44云计算服务运行监管目的及框架41.1 运行监管目的41.2 运行监管框架41.3 运行监管的角色及责任55安全控制措施监管65. 1安全控制措施内容65.2安全控制措施监管环节76变更管理监管76. 1变更管理内容76.2变更管理监管环节77应急响应监管87. 1应急响应内容87.2应急响应监管环节88云计算服务运行监管的实现方式88. 1

2、概述88.2人工机制98.3自动机制9附录A（资料性附录）运行监管交付件模版10A.1安全控制措施报告表10A. 2重大变更报告表10A.3重大安全事件报告表11附录B（资料性附录）安全控制措施运行监管列表14B. 1安全控制措施运行监管表14刖百本标准按照GB/T11-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位：四川大学、中国电子技术标准化研究院、北京安信天行技术有限公司、北京信息安全测评中心、华为技术有限公司、阿里云计算有限公司、腾讯云计算有限公司

3、、中国移动通信有限公司研究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中国电子科技网络信息安全有限公司。本标准主要起草人：陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、张磊、沈锡庸、杨思磊、葛小宇、王惠莅、白杨、王启旭、胡影。引言随着云计算技术的蓬勃发展，政府部门及重点行业等对采用云计算服务有了大量需求，为确保云服务客户安全地使用云计算服务，确保云服务商的安全能力符合国家相关标准要求，确保云计算服务各相关方能够实时、有效地掌握云计算服务的运行质量和安全状态，制定云计算服务运行监管框架。本标准以GB/T31167-2014

4、信息安全技术云计算服务安全指南为依据，以GB/T31168-2014信息安全技术云计算服务安全能力要求为要求，规范了政府部门云服务客户在使用云计算服务的过程中，云服务商、运行监管方的相关责任及监管内容，提出了运行监管框架、过程及方式。同时，本标准为云服务商支撑云计算服务运行监管活动提供指导，为运行监管方开展运行监管提供指导。信息安全技术云计算服务运行监管框架1范围本标准确定了云计算服务运行监管框架，规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动，给出运行监管实现方式的建议。本标准适用于对政府部门使用的云计算服务进行运行监管，也可供重点行业和其他企事业单位使用云计算服务时参考

5、。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T31167-2014信息安全技术云计算服务安全指南GB/T31168-2014信息安全技术云计算服务安全能力要求3术语和定义GB/T31167-2014界定的以及下列术语和定义适用于本文件。3.1 运行监管方独立于云计算服务相关方，且具有专业技术能力，开展运行监管的机构。4云计算服务运行监管目的及框架4.1 运行监管目的开展云计算服务运行监管的目的是保障：a）云计算服务持续满足国家相关法律法规、行政命令、政策和标准

6、；b）云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态；C）云计算服务的安全风险可控；d）云计算服务的安全能力持续满足要求。从而确保GB/T31167-2014中8.1提出的运行监管主要目标。4.2 运行监管框架云计算服务运行监管框架是基于国家标准GB/T31167-2014和GB/T3U68-2014中的运行监管要求而提出的。云计算服务运行监管框架如图1所示。图1运行监管框架云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施，并为运行监管方提供已实施相关管理和技术措施的支撑材料，形成交付件（对监管活动起到佐证作用的任何实体，包括但不限于各种文档、图

7、片、录音、录像、实物、数据等，并以纸质、电子等形式有效保存），附录A给出了运行监管交付件参考模版，附录B给出了安全控制措施运行监管列表。运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动，形成监管结果告知云计算服务相关方，必要时应根据监管结果给出合理的意见和建议。4.3 运行监管的角色及责任4.3.1运行监管角色运行监管框架包含两个主要角色：a）云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。b）运行监管方。云服务客户的管理部门（例如：政府信息安全管理部门、云服务客户的主管部门等）指定或委托的运行监管方。4.3.2云服务商的责任云服务商应确保：a）云计算平台中的安全控制

8、措施持续有效；b）云计算平台中的重大变更风险可控；c）云计算平台中的应急响应及时充分；d）向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件，并确保交付件真实可靠；e）根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。从而履行GB/T31167-2014中8.2.3规定的云服务商在运行监管中的责任。4.3.3运行监管方的责任运行监管方应：a）对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管；b）与云服务商协商运行监管接口，即交付件的内容、形式、频率和人工或自动机制等；C）确保云服务商提交的交付件安全，不得将交付件、涉及云服务商的知识产权和商业秘密

9、的材料提供给第三方；d）对云服务商提交的交付件进行分析及审核；e）根据分析、审核结果对云计算服务的安全能力进行评估，必要时应以抽查、核查及测试等方式对交付件中的内容进行验证;f）根据评估验证结论，形成评估报告并告知云计算服务相关方，必要时应给出整改意见和建议。从而帮助云服务客户履行GB/T31167-2014中&2.2规定的客户在运行监管活动中的责任。5安全控制措施监管1.1 安全控制措施内容安全控制措施涉及的主要内容包括但不限于：a）系统开发与供应链安全；b）系统与通信保护；C）访问控制；d）配置管理；e）维护;f）应急响应与灾备；g）审计;h）风险评估与持续监控；i）安全组织与人员；j）物

10、理与环境安全。1.2 安全控制措施监管环节安全控制措施的监管环节包括：a）运行监管方制定安全控制监管策略与计划，明确监管目的与要求、监管方法与手段，细化安全控制措施的监管内容、交付件类型、格式及频率等；b）云服务商根据运行监管方制定的安全控制措施监管策略与计划，对云计算平台的安全状态实施持续监控，提交有关安全控制措施有效性的相关交付件；C）运行监管方根据云服务商提交的交付件，对云计算平台的安全控制措施进行分析、审核，必要时，应对安全控制措施的有效性进行评估，并将结果告知云计算服务相关方。6变更管理监管6. 1变更管理内容变更管理涉及的主要内容包括但不限于（见GB/T31167-2014中8.4

11、.2重大变更监管）：A）鉴别（包括身份鉴别和数据源鉴别）和访问控制措施的变更;B）数据存储实现方法的变更；C）备份机制和流程的变更；d）与外部服务商网络连接的变更；e）安全控制措施的变更；f）已部署的商业软硬件产品的变更；G）云计算服务分包商的变更，例如PAAS、SAAS服务商更换iAAS服务商;h）云计算服务运行主体的变更；i）云计算平台软件版本的变更；j）云计算平台基础设施的变更；k）系统iT架构的变更。6.2变更管理监管环节重大变更的监管环节如下：a）运行监管方制定变更管理监管策略与计划，明确监管目的与要求、方法与手段、交付件等；b）云服务商在实施重大变更之前，应对变更项进行安全影响分析

12、，必要时应对变更项进行测试、验证，并根据与运行监管方约定的格式、内容、时间，提交有关重大变更安全性的相关交付件；C）运行监管方根据云服务商提交的交付件，对云计算平台的变更项进行分析、审核，必要时，应对变更项的安全性进行评估、验证，并将结果告知云计算服务相关方。7应急响应监管7. 1应急响应内容应急响应涉及的主要内容包括但不限于（见GB/T31167-2014中8.4.3安全事件监管）：a）非授权访问事件，如对云计算平台下的业务系统、数据或其他计算资源进行非授权逻辑或物理访问等；b）发生安全攻击事件，如拒绝服务攻击；C）恶意代码感染，如云计算平台被病毒、蠕虫、特洛伊木马等恶意代码感染；d）云计算

13、平台宕机；e）重大安全威胁发现；f）重大安全信息泄露。7.2应急响应监管环节应急响应的监管环节如下：a）运行监管方制定应急响应监管策略与计划，明确监管目的与要求、监管方法与手段，细化应急响应的监管内容、交付件类型、格式等；b）云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性有威胁的安全事件时，开展并记录应急响应活动，形成应急响应交付件并及时提交给运行监管方；C）运行监管方根据云服务商提交的交付件，对安全事件及应急响应活动进行分析、评估，必要时，应对应急响应活动的充分性进行评估、验证，并将结果告知云计算服务相关方。8云计算服务运行监管的实现方式8. 1概述运行监管

14、方应通过有效、准确、及时的方式获取有关云计算平台安全的信息及交付件，以便对云计算服务安全能力开展分析、评估、审核、验证等监管活动。获取运行监管信息和交付件的实现方式包括：手工机制和自动机制。8.1 人工机制云服务商根据与运行监管方约定的内容及频率，以确定的非在线方式，向运行监管方提交支撑运行监管活动的相关交付件，交付件列表可参考附录B。8.2 自动机制8.3 3.1主要内容自动机制监管的主要内容包括但不限于：a）限制对各类介质的访问，并对介质访问情况进行审计；b）对配置项的参数进行集中管理、应用和验证；C）检测云计算服务平台中新增的非授权软件、硬件或固件组件；d）维护信息系统组件清单；e）支持

15、事件处理过程；f）支持事件报告过程；G）提高事件响应支持资源的可用性；h）对审查、分析和报告过程进行整合，以支持对可疑活动的调查和响应；i）比较不同时间的脆弱性扫描结果，以判断信息系统漏洞趋势；j）更新恶意代码防护机制；k）管理账号；1）监视和控制远程访问会话，以检测网络攻击，确保远程访问策略得以实现；m）对缺陷修复后的组件进行检测；n）对攻击事件进行准实时分析；。）温湿度控制。8. 3.2要求实现自动机制时应考虑：a）遵守国家相关法律、行政命令、指令、政策、条例、标准和指导方针；b）使用开放性规范、标准、技术及协议；C）从各种信息源中提取信息；d）提供与其他工具的可交互性；e）能够对安全控制、变更管理及应急响应过程中的信息进行整合并格式化输出。附录A（资料性附录）运行监管交付件模版A.1安全控制措施报告表云服务商应逐项对照附录A的各项要求的实现情况在表A.1中进行说明。表A.1安