GB/T 31167-2014信息安全技術云計算服務安全指南

ICS35040

L80.

中華人民共和國國家標準

GB/T31167—2014

信息安全技術云計算服務安全指南

Informationsecuritytechnology—Securityguideofcloudcomputingservices

2014-09-03發(fā)布2015-04-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息安全技術云計算服務安全指南

GB/T31167—2014

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務熱線

:400-168-0010

年月第一版

201410

*

書號

:155066·1-50121

版權專有侵權必究

GB/T31167—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

云計算概述

4………………2

云計算的主要特征

4.1…………………2

服務模式

4.2……………2

部署模式

4.3……………3

云計算的優(yōu)勢

4.4………………………3

云計算的風險管理

5………………………3

概述

5.1…………………3

云計算安全風險

5.2……………………4

云計算服務安全管理的主要角色及責任

5.3…………5

云計算服務安全管理基本要求

5.4……………………5

云計算服務生命周期

5.5………………5

規(guī)劃準備

6…………………6

概述

6.1…………………6

效益評估

6.2……………6

政府信息分類

6.3………………………7

政府業(yè)務分類

6.4………………………8

優(yōu)先級確定

6.5…………………………9

安全保護要求

6.6………………………9

需求分析

6.7……………10

形成決策報告

6.8………………………13

選擇服務商與部署

7………………………14

云服務商安全能力要求

7.1……………14

確定云服務商

7.2………………………15

合同中的安全考慮

7.3…………………15

部署

7.4…………………17

運行監(jiān)管

8…………………18

概述

8.1…………………18

運行監(jiān)管的角色與責任

8.2……………18

客戶自身的運行監(jiān)管

8.3………………19

對云服務商的運行監(jiān)管

8.4……………19

退出服務

9…………………20

Ⅰ

GB/T31167—2014

退出要求

9.1……………20

確定數(shù)據(jù)移交范圍

9.2…………………21

驗證數(shù)據(jù)的完整性

9.3…………………21

安全刪除數(shù)據(jù)

9.4………………………21

參考文獻

……………………22

Ⅱ

GB/T31167—2014

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位四川大學中國信息安全研究院有限公司中國電子科技集團公司第三十研究所

:、、、

工業(yè)和信息化部電子工業(yè)標準化研究院工業(yè)和信息化部電子科學技術情報研究所中國電子信息產(chǎn)業(yè)

、、

發(fā)展研究院北京信息安全測評中心中電長城網(wǎng)際系統(tǒng)應用有限公司中金數(shù)據(jù)系統(tǒng)有限公司中國科

、、、、

學院信息工程研究所信息安全國家重點實驗室中國移動通信有限公司研究院華為技術有限公司西

、、、

安未來國際信息股份有限公司浙江省電子信息產(chǎn)品檢驗所

、。

本標準主要起草人陳興蜀左曉棟閔京華張建軍羅鋒盈楊建軍羅永剛劉海峰黎江卿斯?jié)h

:、、、、、、、、、、

鄔敏華劉斐尹麗波伍揚馮偉王惠蒞趙章界周亞超劉曉莉

、、、、、、、、。

Ⅲ

GB/T31167—2014

引言

云計算是一種計算資源的新型利用模式客戶以購買服務的方式通過網(wǎng)絡獲得計算存儲軟件等

,,、、

不同類型的資源在云計算模式下使用者不需要自己建設數(shù)據(jù)中心購買軟硬件資源避免了前期基

。,、,

礎設施的大量投入僅需較少的使用成本即可獲得優(yōu)質(zhì)的信息技術資源和服務

,(IT)。

云計算還處于不斷發(fā)展階段技術架構復雜采用社會化的云計算服務使用者的數(shù)據(jù)和業(yè)務從自

,,,

己的數(shù)據(jù)中心轉(zhuǎn)移到云服務商的平臺中大量數(shù)據(jù)集中使云計算面臨新的安全風險當政府部門采用

,,。

云計算服務尤其是社會化的云計算服務時應特別關注安全問題

,,。

本標準指導政府部門做好采用云計算服務的前期分析和規(guī)劃選擇合適的云服務商對云計算服務

,,

進行運行監(jiān)管考慮退出云計算服務和更換云服務商的安全風險本標準指導政府部門在云計算服務

,。

的生命周期采取相應的安全技術和管理措施保障數(shù)據(jù)和業(yè)務的安全安全使用云計算服務

,,。

本標準與信息安全技術云計算服務安全能力要求構成了云計算服務安全

GB/T31168—2014《》

管理的基礎標準本標準面向政府部門提出了使用云計算服務時的信息安全管理和技術要求

。,;

面向云服務商提出了為政府部門提供服務時應該具備的信息安全能力要求

GB/T31168—2014,。

Ⅳ

GB/T31167—2014

信息安全技術云計算服務安全指南

1范圍

本標準描述了云計算可能面臨的主要安全風險提出了政府部門采用云計算服務的安全管理基本

,

要求及云計算服務的生命周期各階段的安全管理和技術要求

。

本標準為政府部門采用云計算服務特別是采用社會化的云計算服務提供全生命周期的安全指導

,,

適用于政府部門采購和使用云計算服務也可供重點行業(yè)和其他企事業(yè)單位參考

,。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

信息安全技術云計算服務安全能力要求

GB/T31168—2014

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

31

.

云計算cloudcomputing

通過網(wǎng)絡訪問可擴展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式

、