2023互聯(lián)網(wǎng)交互式服務(wù)安全管理要求 第7部分：云服務(wù)

互聯(lián)網(wǎng)交互式服務(wù)安全管理要求第7部分云服務(wù)目 次前言 Ⅰ引言 Ⅱ范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1安全管理制度 2組織機(jī)構(gòu) 2人員安全管理訪(fǎng)問(wèn)控制管理基本要求權(quán)限分配特殊權(quán)限權(quán)限檢查安全技術(shù)措施

……………2……………2……………2……………2……………2……………2……………3網(wǎng)絡(luò)與系統(tǒng)運(yùn)行安全 3云計(jì)算平臺(tái)安全數(shù)據(jù)安全與備份

……………………3……………………3安全審計(jì) 3云服務(wù)運(yùn)營(yíng)安全 4基本要求 4客戶(hù)服務(wù)協(xié)議客戶(hù)管理措施

………………………5………………………5違法有害信息防范和處置 5破壞性程序防范 5個(gè)人信息保護(hù) 5投訴 5分包服務(wù) 6安全事件管理 611互聯(lián)網(wǎng)交互式服務(wù)安全管理要求第7部分云服務(wù)范圍本文件規(guī)定了云服務(wù)安全管理要求。本文件適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實(shí)云服務(wù)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。1信息技術(shù)安全技術(shù)信息安全事件管理第1部分事件管理原理6信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南9信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要3信息安全技術(shù) 個(gè)人信息安全規(guī)范A0互聯(lián)網(wǎng)交互式服務(wù)安全管理要求 第1部分基本要求A8信息安全技術(shù) 互聯(lián)網(wǎng)服務(wù)安全評(píng)估基本程序及要求術(shù)語(yǔ)和定義TTA8界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

云計(jì)算g通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)可擴(kuò)展的靈活的物理或虛擬共享資源池并按需自助獲取和管理資源的模式。注資源實(shí)例包括服務(wù)器操作系統(tǒng)網(wǎng)絡(luò)軟件應(yīng)用和存儲(chǔ)設(shè)備等。來(lái)源]云計(jì)算服務(wù)e使用定義的接口借助云計(jì)算提供一種或多種資源的能力。來(lái)源]云服務(wù)提供商r云計(jì)算服務(wù)的供應(yīng)方。注云服務(wù)提供商管理運(yùn)營(yíng)支撐云計(jì)算的計(jì)算基礎(chǔ)設(shè)施及軟件通過(guò)網(wǎng)絡(luò)支付云計(jì)算的資源。來(lái)源]

云服務(wù)客戶(hù)r為使用云計(jì)算服務(wù)同云服務(wù)提供商建立業(yè)務(wù)關(guān)系的參與方。來(lái)源]云計(jì)算平臺(tái)m云服務(wù)提供商提供的云計(jì)算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。來(lái)源]安全管理制度云服務(wù)提供商應(yīng)根據(jù)0第4章的要求制定并維護(hù)安全管理制度。安全管理制度還應(yīng)包括:云服務(wù)提供商與云服務(wù)客戶(hù)以下簡(jiǎn)稱(chēng)客戶(hù)責(zé)任分擔(dān)說(shuō)明文件;云服務(wù)過(guò)程中的網(wǎng)絡(luò)安全和保密管理制度;云服務(wù)提供商對(duì)客戶(hù)數(shù)據(jù)安全的承諾文件等。組織機(jī)構(gòu)云服務(wù)提供商應(yīng)根據(jù)A0第5章的要求建立相關(guān)機(jī)構(gòu)并明確其職責(zé)。人員安全管理云服務(wù)提供商應(yīng)根據(jù)A0第6章的要求設(shè)立安全管理崗位配備安全管理人員并明確其職責(zé)。訪(fǎng)問(wèn)控制管理基本要求云服務(wù)提供商應(yīng)根據(jù)A0第7章的要求進(jìn)行訪(fǎng)問(wèn)控制管理。權(quán)限分配云服務(wù)提供商應(yīng)對(duì)客戶(hù)進(jìn)行身份鑒別并滿(mǎn)足以下要求:嚴(yán)禁云服務(wù)管理員未經(jīng)授權(quán)獲取客戶(hù)權(quán)限;客戶(hù)授權(quán)云服務(wù)管理員相關(guān)權(quán)限應(yīng)具有相應(yīng)的授權(quán)流程并保留授權(quán)記錄。特殊權(quán)限為維護(hù)國(guó)家安全打擊違法犯罪在遵守國(guó)家法律法規(guī)的基礎(chǔ)上云服務(wù)提供商應(yīng)提供技術(shù)接口和操作權(quán)限等技術(shù)支持和協(xié)助。權(quán)限檢查云服務(wù)提供商應(yīng)根據(jù)A0中4的要求定期對(duì)訪(fǎng)問(wèn)權(quán)限進(jìn)行檢查并滿(mǎn)足以下要求:訪(fǎng)問(wèn)控制權(quán)限檢查時(shí)間間隔應(yīng)不超過(guò)1年;2PAGEPAGE3PAGEPAGE4特殊訪(fǎng)問(wèn)控制權(quán)限檢查時(shí)間間隔應(yīng)不超過(guò)半年。安全技術(shù)措施網(wǎng)絡(luò)與系統(tǒng)運(yùn)行安全云服務(wù)提供商應(yīng)根據(jù)A0中1的要求采取相應(yīng)的安全技術(shù)措施保障網(wǎng)絡(luò)與系統(tǒng)運(yùn)行安全并滿(mǎn)足以下要求:對(duì)云平臺(tái)上出現(xiàn)的漏洞云主機(jī)操作系統(tǒng)漏洞和云平臺(tái)上運(yùn)行的主機(jī)面臨的安全威脅惡意攻擊等進(jìn)行預(yù)警;引導(dǎo)用戶(hù)對(duì)漏洞和安全威脅進(jìn)行處置。云計(jì)算平臺(tái)安全云服務(wù)提供商應(yīng)根據(jù)9中相應(yīng)等級(jí)的安全通用要求和云計(jì)算安全擴(kuò)展要求保障云計(jì)算平臺(tái)的安全。,云服務(wù)提供商應(yīng)根據(jù),云服務(wù)提供商應(yīng)根據(jù)A0中2的要求采取相應(yīng)的安全技術(shù)措施保障數(shù)據(jù)安全與備份并滿(mǎn)足以下要求。云計(jì)算平臺(tái)數(shù)據(jù)備份要求。云服務(wù)提供商應(yīng)對(duì)云計(jì)算平臺(tái)的運(yùn)行數(shù)據(jù)建立備份策略具備足夠的備份設(shè)施確保必要的信息和軟件在災(zāi)難或者介質(zhì)故障時(shí)可以恢復(fù)。備份的數(shù)據(jù)類(lèi)型應(yīng)包括:客戶(hù)注冊(cè)信息;云計(jì)算平臺(tái)關(guān)鍵配置數(shù)據(jù);云計(jì)算平臺(tái)關(guān)鍵服務(wù)的運(yùn)行數(shù)據(jù)與日志;客戶(hù)使用云計(jì)算平臺(tái)的登錄日志。b 客戶(hù)數(shù)據(jù)備份要求:云服務(wù)提供商應(yīng)根據(jù)客戶(hù)的選擇提供不同級(jí)別的備份恢復(fù)能力支持客戶(hù)對(duì)系統(tǒng)和數(shù)據(jù)的備份支持服務(wù)客戶(hù)查詢(xún)備份數(shù)據(jù);云服務(wù)提供商應(yīng)在與客戶(hù)簽訂的協(xié)議或公告中定義云服務(wù)提供商所提供的數(shù)據(jù)備份服務(wù)并告知客戶(hù)需要自行備份數(shù)據(jù)。安全審計(jì)審計(jì)內(nèi)容審計(jì)內(nèi)容應(yīng)滿(mǎn)足A0中3的要求。此外還應(yīng)包括以下內(nèi)容。云計(jì)算平臺(tái)狀態(tài)信息包括:設(shè)備運(yùn)行狀態(tài)鏈路運(yùn)行狀態(tài)網(wǎng)絡(luò)流量用戶(hù)行為;重要安全事件如網(wǎng)絡(luò)攻擊行為等并能記錄事件的類(lèi)型發(fā)生的日期時(shí)間攻擊方式等。重要的客戶(hù)行為重要安全事件如網(wǎng)絡(luò)攻擊行為等并能記錄事件的類(lèi)型發(fā)生的日期時(shí)間攻擊方式等。b 客戶(hù)身份信息包括:客戶(hù)唯一標(biāo)識(shí);客戶(hù)身份信息如姓名證件類(lèi)型證件號(hào)碼企業(yè)信息等;注冊(cè)時(shí)間P信息;電子郵箱地址和手機(jī)號(hào)碼;)客戶(hù)其他信息。 , :客戶(hù)購(gòu)買(mǎi)或開(kāi)通云計(jì)算服務(wù)資源信息包括開(kāi)通云計(jì)算服務(wù)資源信息;)3))3)關(guān)閉云計(jì)算服務(wù)資源信息?？蛻?hù)登錄信息包括:客戶(hù)的唯一標(biāo)識(shí);登錄時(shí)間;登錄P地址和端口號(hào)。日志保存時(shí)間云服務(wù)提供商應(yīng)滿(mǎn)足A0中3的要求。此外還應(yīng)保存客戶(hù)開(kāi)通服務(wù)的相關(guān)信息6個(gè)月以上。云計(jì)算平臺(tái)審計(jì)要求云服務(wù)提供商對(duì)云計(jì)算平臺(tái)的審計(jì)要求如下:云服務(wù)提供商應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)防止未授權(quán)的中斷確保審計(jì)記錄不被破壞或非授權(quán)訪(fǎng)問(wèn)并對(duì)特定安全事件進(jìn)行報(bào)警;云服務(wù)提供商應(yīng)確保當(dāng)發(fā)生虛擬機(jī)遷移或虛擬資源變更時(shí)安全審計(jì)機(jī)制應(yīng)用于新的邊界處,安全審計(jì)功能不受影響;云服務(wù)提供商應(yīng)能夠?qū)徲?jì)記錄進(jìn)行關(guān)聯(lián)分析生成審計(jì)報(bào)表并做出關(guān)聯(lián)響應(yīng)確認(rèn)的違規(guī)行為及時(shí)報(bào)警并做出相應(yīng)處置;云服務(wù)提供商應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析;云服務(wù)提供商應(yīng)確保審計(jì)日志內(nèi)容的可溯源性即可追溯到真實(shí)的客戶(hù)賬號(hào);云服務(wù)提供商應(yīng)配合公安機(jī)關(guān)監(jiān)管要求留存指定的訪(fǎng)問(wèn)日志?？蛻?hù)審計(jì)要求云服務(wù)提供商對(duì)客戶(hù)的審計(jì)要求如下:云服務(wù)提供商應(yīng)支持客戶(hù)收集和查看與自身資源相關(guān)的審計(jì)信息;云服務(wù)提供商應(yīng)保證對(duì)客戶(hù)通信網(wǎng)絡(luò)的訪(fǎng)問(wèn)操作可被客戶(hù)審計(jì);云服務(wù)提供商應(yīng)支持向客戶(hù)提供常規(guī)的安全審計(jì)和分析服務(wù)的能力:應(yīng)能對(duì)客戶(hù)系統(tǒng)記錄活動(dòng)異常情況故障和安全事件的日志;應(yīng)確保審計(jì)日志內(nèi)容的可溯源性日志包含時(shí)間主體客體事件活動(dòng)類(lèi)型等內(nèi)容;應(yīng)保護(hù)審計(jì)日志保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程防止刪除修改或覆蓋審計(jì)日志。云服務(wù)運(yùn)營(yíng)安全基本要求云服務(wù)提供商應(yīng)在滿(mǎn)足A0第9章要求的基礎(chǔ)上保證云服務(wù)安全?？蛻?hù)服務(wù)協(xié)議云服務(wù)提供商與客戶(hù)簽訂云服務(wù)協(xié)議應(yīng)符合以下條款的要求:協(xié)議應(yīng)告知相關(guān)權(quán)利義務(wù)及需承擔(dān)的法律責(zé)任;協(xié)議明確雙方安全責(zé)任;協(xié)議中應(yīng)向客戶(hù)明確其數(shù)據(jù)處理活動(dòng)如數(shù)據(jù)跨境傳輸?shù)确蠂?guó)家法律法規(guī)和政策要求;協(xié)議中應(yīng)明確云服務(wù)退出的相關(guān)要求如數(shù)據(jù)移交范圍數(shù)據(jù)遷移服務(wù)數(shù)據(jù)安全刪除等?？蛻?hù)管理措施根據(jù)A0中2的要求進(jìn)行客戶(hù)管理并滿(mǎn)足以下要求:云服務(wù)提供商應(yīng)按照國(guó)家法律法規(guī)要求明確禁止客戶(hù)利用云服務(wù)開(kāi)展的違法違規(guī)或惡意行為;應(yīng)建立客戶(hù)風(fēng)險(xiǎn)名單基于名單對(duì)客戶(hù)在注冊(cè)登錄等環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)控制如綜合分析和關(guān)聯(lián)分析等排查措施;應(yīng)根據(jù)客戶(hù)利用云服務(wù)開(kāi)展的違法違規(guī)行為或惡意行為次數(shù)和影響程度及范圍采取不同級(jí)別的處置措施。違法有害信息防范和處置云服務(wù)提供商應(yīng)根據(jù)A0中3的要求進(jìn)行違法有害信息防范和處置并滿(mǎn)足以下要求:云服務(wù)提供商應(yīng)在其云計(jì)算資源使用過(guò)程中對(duì)違法有害信息進(jìn)行監(jiān)測(cè)和防范發(fā)現(xiàn)法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌膽?yīng)當(dāng)立即停止傳輸該信息采取消除等處置措施保存有關(guān)記錄,并向有關(guān)主管部門(mén)報(bào)告;云服務(wù)提供商應(yīng)對(duì)客戶(hù)提出違法有害信息防范和處置要求能夠?yàn)橛行枰目蛻?hù)提供安全檢測(cè)服務(wù)確保其使用云服務(wù)的過(guò)程中有效發(fā)現(xiàn)并處置利用云服務(wù)資源傳播違法有害信息的行為;云服務(wù)提供商應(yīng)為客戶(hù)提供防范違法有害信息的服務(wù)。破壞性程序防范云服務(wù)提供商應(yīng)根據(jù)A0中4的要求進(jìn)行破壞性程序防范并滿(mǎn)足以下要求:應(yīng)對(duì)客戶(hù)利用云服務(wù)資源進(jìn)行公開(kāi)的病毒傳播網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)入侵等惡意攻擊行為進(jìn)行監(jiān)測(cè);應(yīng)對(duì)