GB/T 31167-2014信息安全技術(shù)云計算服務(wù)安全指南

ICS35040

L80.

中華人民共和國國家標準

GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全指南

Informationsecuritytechnology—Securityguideofcloudcomputingservices

2014-09-03發(fā)布2015-04-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息安全技術(shù)云計算服務(wù)安全指南

GB/T31167—2014

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

201410

*

書號

:155066·1-50121

版權(quán)專有侵權(quán)必究

GB/T31167—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

云計算概述

4………………2

云計算的主要特征

4.1…………………2

服務(wù)模式

4.2……………2

部署模式

4.3……………3

云計算的優(yōu)勢

4.4………………………3

云計算的風險管理

5………………………3

概述

5.1…………………3

云計算安全風險

5.2……………………4

云計算服務(wù)安全管理的主要角色及責任

5.3…………5

云計算服務(wù)安全管理基本要求

5.4……………………5

云計算服務(wù)生命周期

5.5………………5

規(guī)劃準備

6…………………6

概述

6.1…………………6

效益評估

6.2……………6

政府信息分類

6.3………………………7

政府業(yè)務(wù)分類

6.4………………………8

優(yōu)先級確定

6.5…………………………9

安全保護要求

6.6………………………9

需求分析

6.7……………10

形成決策報告

6.8………………………13

選擇服務(wù)商與部署

7………………………14

云服務(wù)商安全能力要求

7.1……………14

確定云服務(wù)商

7.2………………………15

合同中的安全考慮

7.3…………………15

部署

7.4…………………17

運行監(jiān)管

8…………………18

概述

8.1…………………18

運行監(jiān)管的角色與責任

8.2……………18

客戶自身的運行監(jiān)管

8.3………………19

對云服務(wù)商的運行監(jiān)管

8.4……………19

退出服務(wù)

9…………………20

Ⅰ

GB/T31167—2014

退出要求

9.1……………20

確定數(shù)據(jù)移交范圍

9.2…………………21

驗證數(shù)據(jù)的完整性

9.3…………………21

安全刪除數(shù)據(jù)

9.4………………………21

參考文獻

……………………22

Ⅱ

GB/T31167—2014

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位四川大學(xué)中國信息安全研究院有限公司中國電子科技集團公司第三十研究所

:、、、

工業(yè)和信息化部電子工業(yè)標準化研究院工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所中國電子信息產(chǎn)業(yè)

、、

發(fā)展研究院北京信息安全測評中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中金數(shù)據(jù)系統(tǒng)有限公司中國科

、、、、

學(xué)院信息工程研究所信息安全國家重點實驗室中國移動通信有限公司研究院華為技術(shù)有限公司西

、、、

安未來國際信息股份有限公司浙江省電子信息產(chǎn)品檢驗所

、。

本標準主要起草人陳興蜀左曉棟閔京華張建軍羅鋒盈楊建軍羅永剛劉海峰黎江卿斯?jié)h

:、、、、、、、、、、

鄔敏華劉斐尹麗波伍揚馮偉王惠蒞趙章界周亞超劉曉莉

、、、、、、、、。

Ⅲ

GB/T31167—2014

引言

云計算是一種計算資源的新型利用模式客戶以購買服務(wù)的方式通過網(wǎng)絡(luò)獲得計算存儲軟件等

,,、、

不同類型的資源在云計算模式下使用者不需要自己建設(shè)數(shù)據(jù)中心購買軟硬件資源避免了前期基

。,、,

礎(chǔ)設(shè)施的大量投入僅需較少的使用成本即可獲得優(yōu)質(zhì)的信息技術(shù)資源和服務(wù)

,(IT)。

云計算還處于不斷發(fā)展階段技術(shù)架構(gòu)復(fù)雜采用社會化的云計算服務(wù)使用者的數(shù)據(jù)和業(yè)務(wù)從自

,,,

己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺中大量數(shù)據(jù)集中使云計算面臨新的安全風險當政府部門采用

,,。

云計算服務(wù)尤其是社會化的云計算服務(wù)時應(yīng)特別關(guān)注安全問題

,,。

本標準指導(dǎo)政府部門做好采用云計算服務(wù)的前期分析和規(guī)劃選擇合適的云服務(wù)商對云計算服務(wù)

,,

進行運行監(jiān)管考慮退出云計算服務(wù)和更換云服務(wù)商的安全風險本標準指導(dǎo)政府部門在云計算服務(wù)

,。

的生命周期采取相應(yīng)的安全技術(shù)和管理措施保障數(shù)據(jù)和業(yè)務(wù)的安全安全使用云計算服務(wù)

,,。

本標準與信息安全技術(shù)云計算服務(wù)安全能力要求構(gòu)成了云計算服務(wù)安全

GB/T31168—2014《》

管理的基礎(chǔ)標準本標準面向政府部門提出了使用云計算服務(wù)時的信息安全管理和技術(shù)要求

。,;

面向云服務(wù)商提出了為政府部門提供服務(wù)時應(yīng)該具備的信息安全能力要求

GB/T31168—2014,。

Ⅳ

GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全指南

1范圍

本標準描述了云計算可能面臨的主要安全風險提出了政府部門采用云計算服務(wù)的安全管理基本

,

要求及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求

。

本標準為政府部門采用云計算服務(wù)特別是采用社會化的云計算服務(wù)提供全生命周期的安全指導(dǎo)

,,

適用于政府部門采購和使用云計算服務(wù)也可供重點行業(yè)和其他企事業(yè)單位參考

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

云計算cloudcomputing

通過網(wǎng)絡(luò)訪問可擴展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式

、