GB∕T 37972-2019 信息安全技术 云计算服务运行监管框架.pdf
《GB∕T 37972-2019 信息安全技术 云计算服务运行监管框架.pdf》由会员分享,可在线阅读,更多相关《GB∕T 37972-2019 信息安全技术 云计算服务运行监管框架.pdf(22页珍藏版)》请在咨信网上搜索。
1、书 书 书犐 犆犛 犔 中 华 人 民 共 和 国 国 家 标 准犌犅犜 信息安全技术云计算服务运行监管框架犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犗狆 犲 狉 犪 狋 犻 狅 狀狊 狌 狆 犲 狉 狏 犻 狊 犻 狅 狀犳 狉 犪犿犲狑狅 狉 犽狅 犳犮 犾 狅 狌 犱犮 狅犿狆 狌 狋 犻 狀 犵狊 犲 狉 狏 犻 犮 犲 发布 实施国 家 市 场 监 督 管 理 总 局中国国家标准化管理委员会发 布目次前言引言范围规范性引用文件术语和定义云计算服务运行监管目的及框架 运行监管目的 运行监管框架 运行监管的角色及责任安全控制
2、措施监管 安全控制措施内容 安全控制措施监管环节变更管理监管 变更管理内容 变更管理监管环节应急响应监管 应急响应内容 应急响应监管环节云计算服务运行监管的实现方式 概述 人工机制 自动机制附录(资料性附录)运行监管交付件模版附录(资料性附录)安全控制措施运行监管列表 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会( )提出并归口。本标准起草单位:四川大学、中国电子技术标准化研究院、北京安信天行技术有限公司、北京信息安全测评中心、华为技术有限公司、阿里云计算有限公司、腾讯云计算
3、有限公司、中国移动通信有限公司研究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中国电子科技网络信息安全有限公司。本标准主要起草人:陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、张磊、沈锡庸、杨思磊、葛小宇、王惠莅、白杨、王启旭、胡影。犌犅犜 引言随着云计算技术的蓬勃发展,政府部门及重点行业等对采用云计算服务有了大量需求,为确保云服务客户安全地使用云计算服务,确保云服务商的安全能力符合国家相关标准要求,确保云计算服务各相关方能够实时、有效地掌握云计算服务的运行质量和安全状态,制定云计算服务运行监管框架。本标准以 信息安全技
4、术云计算服务安全指南为依据,以 信息安全技术云计算服务安全能力要求为要求,规范了政府部门云服务客户在使用云计算服务的过程中,云服务商、运行监管方的相关责任及监管内容,提出了运行监管框架、过程及方式。同时,本标准为云服务商支撑云计算服务运行监管活动提供指导,为运行监管方开展运行监管提供指导。犌犅犜 信息安全技术云计算服务运行监管框架范围本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建议。本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使用云计算服务时参考。规范性引用文件下列文件对于本
5、文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 信息安全技术云计算服务安全指南 信息安全技术云计算服务安全能力要求术语和定义 界定的以及下列术语和定义适用于本文件。 运行监管方狅 狆 犲 狉 犪 狋 犻 狅 狀狊 狌 狆 犲 狉 狏 犻 狊 犻 狅 狀狅 狉 犵 犪 狀 犻 狕 犪 狋 犻 狅 狀独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构。云计算服务运行监管目的及框架 运行监管目的开展云计算服务运行监管的目的是保障:)云计算服务持续满足国家相关法律法规、行政命令、政策和标准;)云
6、计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态;)云计算服务的安全风险可控;)云计算服务的安全能力持续满足要求。从而确保 中 提出的运行监管主要目标。 运行监管框架云计算服务运行监管框架是基于国家标准 和 中的运行监管要求而提出的。云计算服务运行监管框架如图所示。犌犅犜 图运行监管框架云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施,并为运行监管方提供已实施相关管理和技术措施的支撑材料,形成交付件(对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存) ,附录给出了运行监管交付件参考模
7、版,附录给出了安全控制措施运行监管列表。运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动,形成监管结果告知云计算服务相关方,必要时应根据监管结果给出合理的意见和建议。 运行监管的角色及责任 运行监管角色运行监管框架包含两个主要角色:)云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。)运行监管方。云服务客户的管理部门(例如:政府信息安全管理部门、云服务客户的主管部门等)指定或委托的运行监管方。 云服务商的责任云服务商应确保:)云计算平台中的安全控制措施持续有效;)云计算平台中的重大变更风险可控;)云计算平台中的应急响应及时充分;)向运行监管方按约定的内容、形式、频率、人
8、工或自动机制等提交运行监管所需交付件,并确保交付件真实可靠;)根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。从而履行 中 规定的云服务商在运行监管中的责任。 运行监管方的责任运行监管方应:)对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管;)与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等;)确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方;)对云服务商提交的交付件进行分析及审核;)根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式对交付件中的内容进行验证;犌犅犜 )
9、根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议。从而帮助云服务客户履行 中 规定的客户在运行监管活动中的责任。安全控制措施监管 安全控制措施内容安全控制措施涉及的主要内容包括但不限于:)系统开发与供应链安全;)系统与通信保护;)访问控制;)配置管理;)维护;)应急响应与灾备;)审计;)风险评估与持续监控;)安全组织与人员;)物理与环境安全。 安全控制措施监管环节安全控制措施的监管环节包括:)运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段,细化安全控制措施的监管内容、交付件类型、格式及频率等;)云服务商根据运行监管方制定的安全控制措施监
10、管策略与计划,对云计算平台的安全状态实施持续监控,提交有关安全控制措施有效性的相关交付件;)运行监管方根据云服务商提交的交付件,对云计算平台的安全控制措施进行分析、审核,必要时,应对安全控制措施的有效性进行评估,并将结果告知云计算服务相关方。变更管理监管 变更管理内容变更管理涉及的主要内容包括但不限于(见 中 重大变更监管) :)鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更;)数据存储实现方法的变更;)备份机制和流程的变更;)与外部服务商网络连接的变更;)安全控制措施的变更;)已部署的商业软硬件产品的变更;)云计算服务分包商的变更,例如 、 服务商更换 服务商;)云计算服务运行主体的变
11、更;)云计算平台软件版本的变更;)云计算平台基础设施的变更;)系统架构的变更。犌犅犜 变更管理监管环节重大变更的监管环节如下:)运行监管方制定变更管理监管策略与计划,明确监管目的与要求、方法与手段、交付件等;)云服务商在实施重大变更之前,应对变更项进行安全影响分析,必要时应对变更项进行测试、验证,并根据与运行监管方约定的格式、内容、时间,提交有关重大变更安全性的相关交付件;)运行监管方根据云服务商提交的交付件,对云计算平台的变更项进行分析、审核,必要时,应对变更项的安全性进行评估、验证,并将结果告知云计算服务相关方。应急响应监管 应急响应内容应急响应涉及的主要内容包括但不限于(见 中 安全事件
12、监管) :)非授权访问事件,如对云计算平台下的业务系统、数据或其他计算资源进行非授权逻辑或物理访问等;)发生安全攻击事件,如拒绝服务攻击;)恶意代码感染,如云计算平台被病毒、蠕虫、特洛伊木马等恶意代码感染;)云计算平台宕机;)重大安全威胁发现;)重大安全信息泄露。 应急响应监管环节应急响应的监管环节如下:)运行监管方制定应急响应监管策略与计划,明确监管目的与要求、监管方法与手段,细化应急响应的监管内容、交付件类型、格式等;)云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性有威胁的安全事件时,开展并记录应急响应活动,形成应急响应交付件并及时提交给运行监管方;)运行
13、监管方根据云服务商提交的交付件,对安全事件及应急响应活动进行分析、评估,必要时,应对应急响应活动的充分性进行评估、验证,并将结果告知云计算服务相关方。云计算服务运行监管的实现方式 概述运行监管方应通过有效、准确、及时的方式获取有关云计算平台安全的信息及交付件,以便对云计算服务安全能力开展分析、评估、审核、验证等监管活动。获取运行监管信息和交付件的实现方式包括:手工机制和自动机制。 人工机制云服务商根据与运行监管方约定的内容及频率,以确定的非在线方式,向运行监管方提交支撑运行监管活动的相关交付件,交付件列表可参考附录。犌犅犜 自动机制 主要内容自动机制监管的主要内容包括但不限于:)限制对各类介质
14、的访问,并对介质访问情况进行审计;)对配置项的参数进行集中管理、应用和验证;)检测云计算服务平台中新增的非授权软件、硬件或固件组件;)维护信息系统组件清单;)支持事件处理过程;)支持事件报告过程;)提高事件响应支持资源的可用性;)对审查、分析和报告过程进行整合,以支持对可疑活动的调查和响应;)比较不同时间的脆弱性扫描结果,以判断信息系统漏洞趋势;)更新恶意代码防护机制;)管理账号;)监视和控制远程访问会话,以检测网络攻击,确保远程访问策略得以实现;)对缺陷修复后的组件进行检测;)对攻击事件进行准实时分析;)温湿度控制。 要求实现自动机制时应考虑:)遵守国家相关法律、行政命令、指令、政策、条例、
15、标准和指导方针;)使用开放性规范、标准、技术及协议;)从各种信息源中提取信息;)提供与其他工具的可交互性;)能够对安全控制、变更管理及应急响应过程中的信息进行整合并格式化输出。犌犅犜 附录犃(资料性附录)运行监管交付件模版犃 安全控制措施报告表云服务商应逐项对照附录的各项要求的实现情况在表 中进行说明。表犃 安全控制措施报告表安全控制措施报告表云服务商云服务商名称云计算服务名称安全能力安全类安全项安全属性一般要求增强要求章节号内容描述:(对内容中给出的赋值和选择项,需在表格中明确列出赋值和选择的具体参数)安全措施措施名称作用范围通用专用混用安全控制措施说明:(对采用的安全控制措施的功能、效果及
16、可用性等特性进行说明)拟提供的证据(可另附页)(能证明安全控制措施有效性的说明)犃 重大变更报告表对于计划中的重大变更,云服务商应在计划实施之前,以与运行监管方约定的时间内,在表 中进行说明。犌犅犜 表犃 重大变更报告表重大变更报告表云服务商云服务商名称云计算服务名称云服务客户安全能力要求一般增强服务模式软件即服务( )平台即服务( )基础设施即服务( )其他(请注明)部署模式公有云私有云社区云混合云其他(请注明)变更计划开始日期变更计划完成日期联系人姓名联系人职务联系人电子邮件联系人电话变更类型云服务商变动(云服务商名称、注册地、企业性质、管理层)物理环境变化(机房位置)网络环境变化(网络架
17、构、与外部信息系统的连接、与外部服务商的连接)云平台关键软件组成变更(版本、代码、组件、供应商)云平台关键硬件组成变更(硬件组成、 地址、供应商)供应链关键服务商变更云计算服务分包商的变更,例如 、 服务商更换 服务商鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更数据存储的实现方法变更备份机制和流程变更安全措施的撤除其他变更原因说明:变更情况说明:变更影响分析(可另附页) :犃 重大安全事件报告表云服务商应在发现重大安全事件的第一时间,启动应急响应程序并告知运行监管方,事件响应完成后,依据时间响应处理过程的情况,在表 中进行说明。犌犅犜 表犃 重大安全事件报告表重大安全事件报告表云服务商
18、名称报告时间年月日时分发现事件的情况发生了什么事件发生事件的时间发现人发现人所属部门重大安全事件的详细描述(如以前出现过此类情况,也应加以说明)事件发生过程和原因等情况受影响的用户、业务及其损失已确定的风险是否向云服务客户、国家和地方应急响应组织及有关信息安全主管部门等报告其他安全事件的类型有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其他信息安全事件安全事件的级别特别重大安全事件重大安全事件较大安全事件一般安全事件受影响的资产(提供受事件影响或与事件影响有关的资产的描述)例如:信息数据、硬件、软件、网络设备、通信设施、文档等涉及信息系统名称及主要用途事件对业务的负
19、面影响违背保密性(即泄露)违背完整性(即篡改)违背可用性(即不可用性)违背抗抵赖性遭受破坏攻击者的描述(实际的或觉察的动机)犯罪经济效益消遣黑客攻击政治恐怖主义报复其他计划采取的解决事件行动符合现有事件处理计划符合不符合原因:是否修订了事件处理计划是否原因:是否修订了应急响应计划是否原因:犌犅犜 表犃 (续)重大安全事件报告表事件处理过程描述事件处置开始时间和结束时间事件处置人员、所属部门和联系方式其他事件处理完成后对安全产生影响分析提交的证据及编号签名:日期:犌犅犜 附录犅(资料性附录)安全控制措施运行监管列表安全控制措施运行监管情况见表 。表犅 安全控制措施运行监管表安全类安全项属性内容
20、系统开发与供应链安全资源分配一般要求)在工作计划和预算文件中,将信息安全作为单列项予以说明 采购过程一般要求云服务商应根据相关法律、法规、政策和标准的要求,以及可能的客户需求,并在风险评估的基础上,将以下内容列入信息系统采购合同:)安全功能要求;)安全强度要求;)安全保障要求;)安全相关文档要求;)保密要求;)开发环境和预期运行环境描述;)验收准则;)强制配置要求,如功能、端口、协议和服务 开发过程、标准和工具增强要求)按照赋值:云服务商定义的频率审查开发过程、标准、工具以及工具选项和配置,判定有关过程、标准、工具以及工具选项和配置是否满足赋值:云服务商定义的安全需求 。)要求信息系统、组件或
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 37972-2019 信息安全技术 云计算服务运行监管框架 GB 37972 2019 信息 安全技术 计算 服务 运行 监管 框架
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【tea****ft】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【tea****ft】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。