《信息安全技術云計算服務運行監(jiān)管框架》

GB/TXXXXX—XXXX

信息安全技術云計算服務運行監(jiān)管框架

1范圍

本標準針對云服務商提供云計算服務的運行監(jiān)管環(huán)節(jié)，闡述了云計算服務運行監(jiān)管框架、過程以及

方式等內容，用于指導運行監(jiān)管活動中的云服務商和運行監(jiān)管機構的監(jiān)管活動，為云服務商制定和實施

云計算服務運行監(jiān)管策略和計劃、為運行監(jiān)管方進行運行監(jiān)管活動提供指導，以保障云計算服務安全能

力持續(xù)達到云計算客戶的安全需求。

本標準適用于政府部門采用云計算服務的運行監(jiān)管活動，也可供重點行業(yè)和其他企事業(yè)單位使用云

計算服務時參考。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T32400—2015信息技術云計算概覽與詞匯

GB/T31167—2014信息安全技術云計算服務安全指南

GB/T31168—2014信息安全技術云計算服務安全能力要求

3術語和定義

GB/T32400—2015界定的以及下列術語和定義適用于本文件。

3.1

云計算CloudComputing

一種通過網(wǎng)絡將可伸縮、彈性的共享物理和虛擬資源池以按需自服務的方式供應和管理的模式。

注：資源包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。

3.2

云服務CloudService

通過云計算已定義的接口提供一種或多種能力。

3.3

云服務商CloudServiceProvider

云計算服務的供應方。

3.4

云服務客戶CloudServiceCustomer

為使用云服務而處于一定業(yè)務關系中的參與方。

注：業(yè)務關系不一定包含經(jīng)濟條款。

3.5

1

GB/TXXXXX—XXXX

運行監(jiān)管方OperationSupervisionOrganization

獨立于云計算服務相關方的專業(yè)監(jiān)管機構。

3.6

第三方評估機構ThirdPartyAssessmentOrganizations(3PAO)

獨立于云計算服務相關方的專業(yè)評估機構。

4縮略語

下列縮略語適用于本文件。

CSCCloudServiceCustomer

CSPCloudServiceProvider

OSOOperationSupervisionOrganization

3PAOThirdPartyAssessmentOrganization

5云計算服務運行監(jiān)管框架

5.1概述

云計算服務運行監(jiān)管應確保云服務商的云安全控制措施、重大變更管理及應急響應能力持續(xù)滿足要

求，應為云服務相關方提供云服務平臺相關的安全信息以便其能及時地掌握云計算服務的安全狀態(tài)。

5.2運行監(jiān)管框架

云計算服務運行監(jiān)管框架是基于國家標準GB/T31167—2014《信息安全技術云計算服務安全指

南》和GB/T31168—2014《信息安全技術云計算服務安全能力要求》中對云計算服務運行監(jiān)管的安全

要求而提出的。云計算服務運行監(jiān)管框架如圖1所示，

圖1運行監(jiān)管框架

云服務商持續(xù)監(jiān)控云計算平臺中安全控制、變更管理、應急響應策略、計劃、規(guī)程及措施的實施，

并記錄相關信息及實施情況，形成證明材料交付件；云服務商應根據(jù)運行監(jiān)管方需要的頻率，定期提交

證明材料交付件；運行監(jiān)管方對云服務商提交的交付件進行分析審核、評估驗證等監(jiān)管活動，形成評估

結果；必要時應根據(jù)評估結果給出合理的意見和建議。

5.2.1運行監(jiān)管角色

2

GB/TXXXXX—XXXX

運行監(jiān)管框架包含兩個角色：

a)云服務商：已經(jīng)通過國家網(wǎng)絡安全審查并授權提供云服務的供應方；

b)運行監(jiān)管方：云服務客戶的管理部門（例如：政府信息安全管理部門、云服務客戶的主管部門

等）或由其指定或委托的第三方獨立監(jiān)管機構。

5.2.2運行監(jiān)管目的

運行監(jiān)管的目的是保障：

a)云計算服務持續(xù)滿足國家相關法律法規(guī)、行政命令、指令、政策、條例和指導方針；

b)云服務商嚴格履行GB/T31167—2014《信息安全技術云計算服務安全指南》規(guī)定的運行監(jiān)管

責任；

c)云計算服務安全能力持續(xù)滿足國家標準GB/T31168—2014《信息安全技術云計算服務安全能

力要求》規(guī)定的要求；

d)云計算服務相關方能夠及時地、有效地掌握云計算服務的運行質量和安全狀態(tài)；

e)云計算服務的透明及可信；

f)云計算服務的安全風險持續(xù)可控；

g)云服務商不斷提升云服務平臺的安全能力。

5.2.3運行監(jiān)管內容

運行監(jiān)管的內容應包含：

a)云服務商在云服務平臺中計劃并實施的安全控制措施的有效性，確保云服務平臺中的安全控制

措施持續(xù)有效；

b)云服務商在云服務平臺中計劃并實施的重大變更活動的情況，確保云服務平臺中的重大變更活

動風險可控；

c)云服務商對云服務平臺中的重大安全事件的響應情況，確保云服務平臺中的應急響應活動及時

充分。

5.2.4運行監(jiān)管活動

運行監(jiān)管方應對云計算服務開展安全控制監(jiān)管、變更管理監(jiān)管和應急響應監(jiān)管等活動，采用的方式

可包含：

a)分析審核：運行監(jiān)管方對云服務商提交的有關安全控制、變更管理及應急響應相關的證明材料

交付件進行分析及審核；

a)評估驗證：運行監(jiān)管方根據(jù)分析、審核結果對云服務平臺的安全風險進行評估，必要時應以抽

查、核查及測試等方式對交付件中的內容進行驗證；

b)監(jiān)管結果：運行監(jiān)管方根據(jù)評估驗證結論，形成評估報告并告知云服務商評估結果，必要時應

給出合理的意見和建議。

5.2.5運行監(jiān)管職責

5.2.5.1云服務商的職責

云服務商的監(jiān)管職責如下：

a)嚴格履行GB/T31167—2014《信息安全技術云計算服務安全指南》中云服務商應承擔的運行

監(jiān)管責任；

b)嚴格履行GB/T31168—2014《信息安全技術云計算服務安全能力要求》中應承擔的監(jiān)管責任；

3

GB/TXXXXX—XXXX

c)嚴格滿足GB/T31168—2014《信息安全技術云計算服務安全能力要求》中的安全能力要求；

d)制定并實施安全控制策略與計劃，確保安全控制措施持續(xù)有效；

e)制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

f)制定并實施應急響應計劃、重大安全事件處理策略；

g)制定并實施持續(xù)監(jiān)控策略與計劃，針對云平臺的控制措施、受控配置及運行狀態(tài)實施監(jiān)控；

h)開展周期性的風險評估，在云平臺發(fā)生重大安全事件時或實施重大變更后，應重新進行風險評

估，將記錄有評估結果的風險評估報告提交給運行監(jiān)管方；

i)按照運行監(jiān)管方的要求記錄有關安全控制措施、重大變更及應急響應的相關信息及實施情況并

歸檔，以支撐運行監(jiān)管活動。

5.2.5.2運行監(jiān)管方的職責

運行監(jiān)管方的監(jiān)管職責如下：

a)監(jiān)督云服務商履行GB/T31167—2014《信息安全技術云計算服務安全指南》中應實施的運行

監(jiān)管措施；

b)監(jiān)督云服務商履行GB/T31168—2014《信息安全技術云計算服務安全能力要求》中應實施的

安全措施；

c)監(jiān)督云服務商達到GB/T31168—2014《信息安全技術云計算服務安全能力要求》中的安全能

力要求；

d)制定并維護運行監(jiān)管策略與計劃，對云服務商的云服務平臺實施運行監(jiān)管活動；

e)制定并維護運行監(jiān)管活動中所需交付件的內容及格式要求，必要時應提供模版；

f)定期接收云服務商提交的相關證明材料的交付件，對交付件內容進行分析、評估及審核；

g)評估云服務商的安全控制策略與計劃、安全控制措施并監(jiān)督其實施情況，必要時應給出合理的

意見和建議；

h)評估云服務商的重大變更策略與規(guī)程、配置管理計劃與配置基線并監(jiān)督其實施情況，必要時應

給出合理的意見和建議；

i)評估云服務商的應急響應計劃、重大安全事件處理策略并監(jiān)督其實施情況，必要時應給出合理

的意見和建議；

j)定期對云服務商的云服務平臺的安全性、透明性、可用性等安全屬性實施全面分析與評估，形

成評估報告并歸檔，必要時應給出合理的意見和建議。

6云計算服務運行監(jiān)管過程

6.1概述

云計算服務運行監(jiān)管過程主要針對云計算服務的安全控制、變更管理、應急響應的運行監(jiān)管。云計

算服務運行監(jiān)管過程的一個重要作用就是要求云服務商提供證據(jù)以證明其云服務安全能力持續(xù)符合

GB/T31168—2014《信息安全技術云計算服務安全能力要求》，證明其實施的安全控制措施的有效性、

變更管理的合理性及應急響應的充分性。

云計算服務運行監(jiān)管的活動包含三個部分：

a)安全控制監(jiān)管；

b)變更管理監(jiān)管；

c)應急響應監(jiān)管。

6.2安全控制監(jiān)管

4

GB/TXXXXX—XXXX

安全控制監(jiān)管有助于運行監(jiān)管方對云服務商實施的安全控制措施有全面的認知，同時，方便運行監(jiān)

管方了解并掌握安全控制措施的運行情況，以便運行監(jiān)管方分析、審核、評估、驗證云服務平臺的安全

性及安全控制措施的有效性。

6.2.1安全控制監(jiān)管要求

6.2.1.1云服務商的要求

a)云服務商應：根據(jù)GB/T31168—2014《信息安全技術云計算服務安全能力要求》中相關安

全能力要求制定安全控制策略與計劃，并實施相應的安全控制措施；

b)制定并實施持續(xù)監(jiān)控策略，對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)定期維護并更新云服務平臺中的安全控制措施，確保其持續(xù)有效；

d)定期對云服務平臺中已實施的安全控制措施進行測評并形成測評報告；

e)記錄云服務平臺中有關安全控制措施的相關信息及實施情況并歸檔；

f)根據(jù)運行監(jiān)管方的要求，提交有關安全控制措施的相關交付件。

6.2.1.2運行監(jiān)管方的要求

運行監(jiān)管方應：

a)監(jiān)督云服務商嚴格履行安全控制策略與計劃并實施安全控制措施；

b)監(jiān)督云服務商嚴格履行持續(xù)監(jiān)控策略并對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)分析、評估、審核云服務商提交的與安全控制措施相關的交付件，確保安全控制措施的合規(guī)性；

d)監(jiān)督云服務商對不合規(guī)的安全控制措施進行整改，并跟蹤整改情況；

e)根據(jù)需要的頻率，以審查、抽查、測試、評估等方式對云服務商的安全控制措施的有效性進行

驗證；

6.2.2安全控制監(jiān)管的內容

安全控制監(jiān)管的目的是要求云服務商提供能證明其實施的安全控制措施滿足GB/T31168—2014

《信息安全技術云計算服務安全能力要求》的交付件。通過國家網(wǎng)絡安全審查并授權為政府部門提供

云計算服務的云服務商，為保證審查結論持續(xù)有效，應以與運行監(jiān)管方約定的時間點（天、周、月、年

等）或運行監(jiān)管方需要的頻率定期提交能證明其安全控制措施有效性的交付件。

附錄A中所示的是安全控制監(jiān)管所要求提交的證明材料交付件。

6.2.3安全控制監(jiān)管流程

安全控制的監(jiān)管流程如下：

a)云服務商制定安全控制策略與計劃，并實施安全控制措施；

b)云服務商制定持續(xù)監(jiān)控策略，并對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)云服務商定期提交能證明其安全控制措施有效性的相關交付件，例如，運行監(jiān)管方可根據(jù)GB/T

31168—2014《信息安全技術云計算服務安全能力要求》中的相關安全能力要求提供《系統(tǒng)

安全計劃》、《系統(tǒng)風險持續(xù)改進》等證明材料模版，以便云服務商根據(jù)要求填寫；

d)運行監(jiān)管方對云服務商提交的交付件進行分析、評估及審核，并將評審結果告知云服務商，例

如，安全控制措施合規(guī)或安全控制措施不合規(guī)應限期整改等；

e)云服務商應定期委托第三方評估機構或有評估資質的運行監(jiān)管方對云服務平臺中已實施的安

全控制措施進行測評，安全測試內容包括但不限于云平臺系統(tǒng)/組件、基礎設施、數(shù)據(jù)庫、物

理環(huán)境等，并提交相應的測評報告給運行監(jiān)管方，例如，《安全措施測評報告》、《滲透測試報

5

GB/TXXXXX—XXXX

告》、《脆弱性掃描報告》等；

f)運行監(jiān)管方可根據(jù)云服務客戶要求或安全監(jiān)管需求，以審查、抽查、測試、評估等方式定期或

不定期地對云服務商的安全控制措施的有效性進行驗證；

g)如果云服務商的安全控制措施不合規(guī)，運行監(jiān)管方可要求云服務商對不合規(guī)的安全控制措施限

期整改并跟蹤整改情況，整改完成后重新進行評估、審核。

6.3變更管理監(jiān)管

變更管理過程有助于維持云服務平臺的安全配置基線，預防重大安全事件的發(fā)生。云服務商應制定

配置管理計劃、變更管理方法、變更實施流程等策略與規(guī)程對例行的日常變更、安全變更、需求變更等

進行安全地管理。在進行重大變更前，云服務商應對計劃實施的變更進行安全影響分析以確保變更不會

對云服務平臺及客戶業(yè)務環(huán)境的安全產(chǎn)生負面影響。

6.3.1變更管理監(jiān)管要求

6.3.1.1云服務商的要求

云服務商應：

a)制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)制定并維護云平臺受控配置列表，明確重大變更項及需定期變更的配置項；

c)定期對病毒庫、入侵檢測規(guī)則庫、防火墻規(guī)則庫、漏洞庫等與云平臺安全相關的重要配置項進

行更新；

d)在云平臺上實施變更之前，應對變更項進行安全影響分析以確保該變更不會對云平臺環(huán)境或云

服務客戶業(yè)務環(huán)境造成潛在的安全影響；

e)在云平臺上實施變更之前，對重大變更項進行測試、驗證和記錄；

f)對重大變更實施物理和邏輯訪問控制，并對變更動作進行審計；

g)限制云計算系統(tǒng)開發(fā)方和集成方對云服務平臺中的信息系統(tǒng)及軟硬件和固件進行直接變更；

h)定期對云計算系統(tǒng)的開發(fā)方和集成方掌握的變更權限進行審查和再評估；

i)記錄云服務平臺中有關重大變更活動的相關信息及實施情況并歸檔；

j)根據(jù)運行監(jiān)管方的要求，提交有關重大變更活動的相關交付件。

6.3.1.2運行監(jiān)管方的要求

運行監(jiān)管方應：

a)監(jiān)督云服務商嚴格履行重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)監(jiān)督云服務商定期更新并維護云平臺受控配置列表、重大變更項及受控配置項；

c)確保云服務商在在云服務平臺上實施重大變更前，對變更項實施測試、驗證及安全影響分析；

d)定期對涉及云平臺受控配置變更的有關活動進行審查；

e)分析、審核云服務商提交的與重大變更活動相關的交付件，根據(jù)安全影響分析結果給出合理的

意見和建議。

6.3.2變更管理監(jiān)管內容

重大變更涉及的主要內容包括但不限于：

a)鑒別（包括身份鑒別和數(shù)據(jù)源鑒別）和訪問控制措施進行變更；

b)數(shù)據(jù)存儲的實現(xiàn)方法的變更；

c)云服務平臺中軟件代碼的更新；

6

GB/TXXXXX—XXXX

d)備份機制和流程的變更；

e)與外部服務商網(wǎng)絡連接的變更；

f)安全控制措施的變更；

g)已部署的商業(yè)軟硬件產(chǎn)品的替換；

h)云計算服務分包商的變更，例如PaaS、SaaS服務商更換IaaS服務商。

6.3.3變更管理監(jiān)管流程

重大變更的監(jiān)管流程如下：

a)云服務商應制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)云服務商對云平臺受控配置列表中的重大變更項及受控配置項進行持續(xù)監(jiān)控；

c)云服務商在實施重大變更之前，應以與運行監(jiān)管方約定的時間提前通知運行監(jiān)管方；

d)云服務商在實施重大變更之前，應對變更項進行測試、驗證及安全影響分析；

e)云服務商應根據(jù)運行監(jiān)管方的要求提供有關計劃實施的重大變更的交付件，例如，運行監(jiān)管方

提供《重大變更情況》、《重大變更安全影響分析表》、《安全評估計劃》等證明材料的模版，

以便云服務商根據(jù)要求填寫；

f)運行監(jiān)管方對云服務商提交的交付件進行分析、評估及審核，根據(jù)安全影響分析結果給出合理

的意見和建議，必要時應協(xié)助云服務商更改重大變更計劃。例如，如果云服務商計劃實施的

變更可能會增加安全風險或暴露出不能接受的其他風險，運行監(jiān)管方應給出意見和建議：

1)變更計劃合規(guī)，建議實施變更計劃；

2)變更計劃不合規(guī)，建議更改變更計劃，重新提交評審；

3)變更存在安全風險，建議撤銷變更計劃。

g)云服務商完成重大變更后，應將有關重大變更活動記錄在案，在與運行監(jiān)管方預先約定的時間

內提交最新的有關云服務平臺的安全評估報告，例如，云服務商委托第三方評估機構或有評

估資質的運行監(jiān)管方對云平臺進行測評，然后將重大變更情況和評估結果形成《安全評估報

告》、《變更說明》等交付件提交給運行監(jiān)管方；

h)運行監(jiān)管方對云服務商的交付件進行審核，確保云服務商的重大變更活動的相關信息與實施情

況與交付件中的內容一致。

6.4應急響應監(jiān)管

應急響應的目的是為了確保云服務相關方在發(fā)生安全事件時可以相互協(xié)調及溝通，并以團隊協(xié)作的

方式快速應對和解決安全事件。

云服務商應制定并維護應急響應計劃以證明其有能力對重大安全事件做出及時、充分的響應。一旦

發(fā)現(xiàn)重大安全事件，例如，拒絕服務攻擊、惡意代碼感染、非授權訪問等，都應及時通知運行監(jiān)管方，

并及時對安全事件進行處理。

6.4.1應急響應監(jiān)管要求

6.4.1.1云服務商的要求

云服務商應：

a)制定并實施應急響應計劃、重大安全事件處理策略；

b)遵守變更管理過程中制定重大變更策略與規(guī)程、配置管理計劃與配置基線；

c)檢測到重大安全事件時應及時處理并以適當?shù)姆绞酵ㄖ品障嚓P方；

d)記錄云服務平臺中有關應急響應活動的相關信息及實施情況并歸檔；

7

GB/TXXXXX—XXXX

e)根據(jù)運行監(jiān)管方的要求，提交有關應急響應活動的相關交付件。

6.4.1.2運行監(jiān)管方的要求

運行監(jiān)管方應：

a)監(jiān)督云服務商制定并實施應急響應計劃、重大安全事件處理策略；

b)監(jiān)督云服務商的及時處理安全事件并跟蹤處理進展直到閉環(huán)；

c)協(xié)助云服務商處理重大安全事件并跟蹤事件處理情況直到閉環(huán)；

d)分析、審核云服務商提交的與應急響應活動相關的交付件，必要時應給出合理的意見和建議；

6.4.2應急響應監(jiān)管內容

涉及應急響應的安全事件包括但不限于：

a)非授權訪問事件，如對云服務平臺下的業(yè)務系統(tǒng)、數(shù)據(jù)或其他計算資源進行非授權邏輯或物理

訪問等；

b)拒絕服務攻擊事件；

c)惡意代碼感染，如云服務平臺被病毒、蠕蟲、特洛伊木馬等惡意代碼感染；

d)客戶違反云計算服務的使用策略，例如發(fā)送垃圾郵件等。

6.4.3應急響應監(jiān)管流程

應急響應的監(jiān)管流程如下：

a)如果云服務商檢測到可能會導致云服務客戶的業(yè)務中斷或對云服務客戶數(shù)據(jù)的機密性和完整

性有威脅的事件時，應通知可能受影響的云服務客戶；

b)通知完云服務客戶后，云服務商應并與運行監(jiān)管方進行溝通，以便運行監(jiān)管方獲得與此安全事

件相關的信息；

c)如果云服務商需要協(xié)助處理安全事件，運行監(jiān)管方應協(xié)助云服務商及時處理安全事件；

d)運行監(jiān)管方應確保所有受影響的云服務客戶都已經(jīng)接收到云服務商的通知并知悉安全事件的

有關信息、處理情況及安全影響；

e)運行監(jiān)管方應記錄有關此應急響應活動的相關信息及處理情況；

i)運行監(jiān)管方對云服務商的交付件進行審核，確保云服務商的應急響應活動的相關信息與實施情

況與交付件中的內容一致。

7云計算服務運行監(jiān)管的實現(xiàn)機制

7.1概述

為了履行在運行監(jiān)管活動中的責任，并實現(xiàn)運行監(jiān)管的目的，運行監(jiān)管方在運行監(jiān)管過程中需要接

收云服務商提交的有關安全能力的交付件。運行監(jiān)管方應通過有效、準確、及時地方式接收交付件以便

對云服務商的云服務安全能力實施分析、評估、審核、驗證等活動。因此，云服務商應努力尋求自動化

機制以降低人力、物力和時間成本，提升并改進運行監(jiān)管過程的效率和可靠性，通過將人、過程及技術

結合的方式來支撐運行監(jiān)管活動。

7.2自動機制

8

GB/TXXXXX—XXXX

自動機制可增加運行監(jiān)管過程的安全性并減少運行監(jiān)管過程中用于處理重復性工作所花費的時間。

自動化獲取運行監(jiān)管交付件的機制，可以用于對人與人之間交互的需求較少的處理過程。隨著云服務平

臺自動機制的逐漸成熟與不斷提高，最終應使用自動機制支撐整個運行監(jiān)管過程。

7.2.1主要內容

自動機制涉及的主要內容包括但不限于：

a)限制對各類介質的訪問，并對介質訪問情況進行審計；

b)對配置項的參數(shù)進行集中管理、應用和驗證；

c)檢測云計算服務平臺中新增的非授權軟件、硬件或固件組件；

d)維護信息系統(tǒng)組件清單；

e)支持事件處理過程；

f)支持事件報告過程；

g)提高事件響應支持資源的可用性；

h)對審查、分析和報告過程進行整合，以支持對可疑活動的調查和響應；

i)比較不同時間的脆弱性掃描結果，以判斷信息系統(tǒng)漏洞趨勢；

j)更新惡意代碼防護機制；

k)管理賬號；

l)監(jiān)視和控制遠程訪問會話，以檢測網(wǎng)絡攻擊，確保遠程訪問策略得以實現(xiàn)；

m)對缺陷修復后的組件進行檢測；

n)對攻擊事件進行準實時分析；

o)溫濕度控制

7.2.2注意事項

云服務商在實現(xiàn)自動機制時應考慮：

a)從各種信息源中提取信息；

b)使用開放性規(guī)范或協(xié)議；

c)提供與其他工具的可交互性；

d)遵守國家相關法律、行政命令、指令、政策、條例、標準和指導方針；

e)能夠對安全控制、變更管理及應急響應過程中的信息進行整合并格式化輸出。

9

GB/TXXXXX—XXXX

附錄A安全控制項

交付備注

安全安全頻負責

屬性內容件類（章

類項率方

型節(jié)號）

資源一般c）在工作計劃和預算文件中，將信息安全作為單云服

每年證據(jù)5.2

分配要求列項予以說明。務商

云服務商應根據(jù)相關法律、法規(guī)、政策和標準的

要求，以及可能的客戶需求，并在風險評估的基

礎上，將以下內容列入信息系統(tǒng)采購合同：

a）安全功能要求。

采購一般b）安全強度要求。云服

每年證據(jù)5.4

過程要求c）安全保障要求。務商

d）安全相關文檔要求。

e）保密要求。

f）開發(fā)環(huán)境和預期運行環(huán)境描述。

g）驗收準則。

h）強制配置要求，如功能、端口、協(xié)議和服務。

c）按照[賦值：云服務商定義的頻率]審查開發(fā)過

程、標準、工具以及工具選項和配置，判定有關

系統(tǒng)

過程、標準、工具以及工具選項和配置是否滿足[賦

開發(fā)

值：云服務商定義的安全需求]。

與供云服

d）要求信息系統(tǒng)、組件或服務的開發(fā)商在開發(fā)過每年證據(jù)

應鏈務商

開發(fā)程的初始階段定義質量度量標準，并以[選擇：[賦

安全

過程、

增強值：云服務商定義的頻率]；[賦值：云服務商定義

標準5.10

要求的項目審查里程碑]；交付時]為節(jié)點，檢查質量度

和工量標準的落實情況。

具

i）要求信息系統(tǒng)、組件或服務的開發(fā)商即使在交

付信息系統(tǒng)、組件或服務后，也應跟蹤信息系統(tǒng)、云服

每月證據(jù)

組件或服務的漏洞情況，在發(fā)布漏洞補丁前便應務商

通知云服務商，且應將漏洞補丁交由云服務商審

查、驗證并允許云服務商自行安裝。

第三

開發(fā)一般a）制定并實施安全評估計劃。方評

每年報告

商安要求b）以[賦值：云服務商定義的深度和覆蓋度]執(zhí)行估機

全測[選擇：單元；集成；系統(tǒng)；回歸]測試或評估。構5.12

試和e）要求信息系統(tǒng)、組件或服務的開發(fā)商按照[賦值：第三

增強

評估云服務商定義的約束條件]，以[賦值：云服務商每年方評報告

要求

定義的廣度和深度]執(zhí)行滲透性測試。估機

10

GB/TXXXXX—XXXX

構

云服

每年報告

務商

b）向[選擇：正品廠商；[賦值：云服務商定義的

組件外部報告機構]；[賦值：云服務商定義的人員和角

增強每季云服

真實色]；其他有關方面]報告贗品組件。證據(jù)5.15

要求度務商

性f）按照[賦值：云服務商定義的頻率]檢查信息系

統(tǒng)中是否有贗品組件。

供應b）確保[賦值：云服務商定義的重要設備]通過[賦

一般云服

鏈保值：政府和行業(yè)有關部門已設立的信息安全測評每年證據(jù)5.17

要求務商

護制度]的安全檢測。

a）在連接外部系統(tǒng)的邊界和內部關鍵邊界上，對

通信進行監(jiān)控；在客戶之外的外部人員訪問系統(tǒng)

的關鍵邏輯邊界和客戶訪問系統(tǒng)的關鍵邏輯邊界

上，對通信進行監(jiān)控。

b）將允許外部公開直接訪問的組件，劃分在一個

一般云服

與內部網(wǎng)絡邏輯隔離的子網(wǎng)絡上。并確保允許外實時證據(jù)

要求務商

部人員訪問的組件與允許客戶訪問的組件在邏輯

層面實現(xiàn)嚴格的網(wǎng)絡隔離。

c）確保與外部網(wǎng)絡或信息系統(tǒng)的連接只能通過嚴

格管理的接口進行，根據(jù)云服務商的安全架構，

該接口上應部署有邊界保護設備。

系統(tǒng)a）為云計算服務搭建物理獨立的計算平臺、存儲

與通邊界云服

平臺、內部網(wǎng)絡環(huán)境及相關維護、安防、電源等每年證據(jù)

信保保護設施，并經(jīng)由受控邊界與外部網(wǎng)絡相連。務商

護g）構建物理上獨立的管理網(wǎng)絡，連接管理工具和

被管設備或資源，以對云計算平臺進行管理。

c）采取以下措施：

增強1）對每一個外部的電信服務接口進行管理。

6.2

要求2）為每一個接口制定通信流策略。

3）采取有關措施對所傳輸?shù)男畔⒘鬟M行必要的保

密性和完整性保護。

根據(jù)云服

4）當根據(jù)業(yè)務需要，出現(xiàn)通信流策略的例外情況證據(jù)

需要務商

時，將業(yè)務需求和通信持續(xù)時間記錄到通信流策

略的例外條款中。

5）按照[賦值：云服務商定義的頻率]，對網(wǎng)絡通

信流策略中的例外條款進行審查，在通信流策略

中刪除不再需要的例外條款。

11

GB/TXXXXX—XXXX

c）配置惡意代碼防護機制，以：

1）按照[賦值：云服務商定義的頻率]定期掃描信

息系統(tǒng)，以及在[選擇：終端；網(wǎng)絡出入口]下載、

惡意

一般打開、執(zhí)行外部文件時對其進行實時掃描。每季云服

代碼證據(jù)6.11

要求2）當檢測到惡意代碼后，實施[選擇：阻斷或隔離度務商

防護

惡意代碼；向管理員報警；[賦值：云服務商定義

的活動]]。

d）及時掌握系統(tǒng)的惡意代碼誤報率，并分析誤報

對信息系統(tǒng)可用性的潛在影響。

a）通過以下步驟管理鑒別憑證：

4）針對鑒別憑證的初始分發(fā)、丟失處置以及收回，

每兩云服

建立和實施管理規(guī)程。證據(jù)

年務商

6）明確鑒別憑證的最小和最大生存時間限制以及

再用條件。

鑒別a）通過以下步驟管理鑒別憑證：

一般

憑證7）對[賦值：云服務商定義的鑒別憑證]，強制要7.5

要求

管理求在[賦值：云服務商定義的時間段]之后更新鑒別

憑證。每季云服

證據(jù)

b）對于基于口令的鑒別：度務商

4）強制執(zhí)行最小和最大生存時間限制，以滿足[賦

值：云服務商定義的最小生存時間和最大生存時

訪問間]。

控制一般i）按照[賦值：云服務商定義的頻率]，檢查賬號是云服

每年證據(jù)

要求否符合賬號管理的要求。務商

賬號b）在[賦值：云服務商定義的時間段]后自動[選項：

7.8

管理增強刪除；禁用]臨時和應急賬號。每季云服

證據(jù)

要求c）在[賦值：云服務商定義的時間段]后自動關閉度務商

非活躍賬號。

無線一般云服

實時證據(jù)7.20

訪問要求云服務商應禁用無線網(wǎng)絡直接訪問云計算平臺。務商

可供

公共

一般每季云服

訪問d）按照[賦值：云服務商定義的頻率]審查公開發(fā)證據(jù)7.23

要求度務商

的內布的信息中是否含有非公開信息，一經(jīng)發(fā)現(xiàn)，立

容即刪除。

12

GB/TXXXXX—XXXX

a）制定并實施云計算平臺的配置管理計劃。

b）在配置管理計劃中，規(guī)定配置管理相關人員的

角色和職責，并詳細規(guī)定配置管理的流程。

配置

增強c）在系統(tǒng)生命周期內，建立配置項標識和管理流云服

管理每年證據(jù)8.2

要求程。務商

計劃

d）定義信息系統(tǒng)的配置項并將其納入配置管理計

劃。

e）保護配置管理計劃，以防非授權的泄露和變更。

d）審查所提交的信息系統(tǒng)受控配置的變更事項，

根據(jù)安全影響分析結果進行批準或否決，并記錄

變更一般云服

變更決定。每年證據(jù)8.4

控制要求e）保留信息系統(tǒng)中受控配置的變更記錄。務商

f）按照[賦值：云服務商定義的頻率]對與系統(tǒng)受

控配置的變更有關的活動進行審查。

a）按照[賦值：云服務商定義的頻率]，對信息系

統(tǒng)進行審查，以標識不必要或不安全的功能、端

口、協(xié)議或服務。

b）關閉[賦值：云服務商定義的不必要或不安全

配置的功能、端口、協(xié)議和服務]。

最小

管理增強c）信息系統(tǒng)應按照[選擇：[賦值：云服務商定義云服

功能每月證據(jù)8.6

要求的軟件使用與限制策略]；對軟件使用的授權規(guī)務商

原則

則]，禁止運行相關程序。

d）按照白名單策略，確定[賦值：云服務商定義

的在云計算平臺上允許運行的軟件]，禁止非授權

軟件在云計算平臺上運行，并按照[賦值：云服務

商定義的頻率]，審查和更新授權軟件列表。

a）制定和維護信息系統(tǒng)組件清單，該清單應滿足

下列要求：

1）能準確反映當前信息系統(tǒng)的情況。

2）與信息系統(tǒng)邊界一致。

一般云服

信息3）達到信息安全管理所必要的顆粒度。每年證據(jù)

要求務商

系統(tǒng)4）包含[賦值：云服務商定義的為實現(xiàn)有效的資產(chǎn)

8.7

組件追責所必要的信息]。

清單b）按照[賦值：云服務商定義的頻率]，審查并更

新信息系統(tǒng)組件清單。

a）按照[賦值：云服務商定義的頻率]，使用自動

增強云服

機制檢測云計算服務平臺中新增的非授權軟件、實時證據(jù)

要求務商

硬件或固件組件。

f）對所有遠程維護和診斷活動進行審計，按照[賦

遠程一般云服

維護值：云服務商定義的頻率]對所有遠程維護和診斷每年證據(jù)9.4

維護要求務商

會話的記錄進行審查。

13

GB/TXXXXX—XXXX

維護一般a）建立對維護人員的授權流程，對已獲授權的維云服

每年證據(jù)9.5

人員要求護組織或人員建立列表。務商

a）標識、報告和修復云計算平臺的缺陷。

一般云服

b）在與安全相關的軟件和固件升級包發(fā)布后，及每月證據(jù)

缺陷要求務商

時安裝升級包。9.7

修復

增強云服務商應使用自動檢測機制，按照[賦值：云服云服

每月證據(jù)

要求務商定義的頻率]對缺陷修復后的組件進行檢測。務商

安全

一般云服

功能a）驗證[賦值：云服務商定義的安全功能]是否正每月證據(jù)9.8

要求務商

驗證常運行。

軟件、

固件、

增強云服

信息a）按照[賦值：云服務商定義的頻率]對云計算平每月證據(jù)9.9

要求務商

完整臺進行完整性掃描，并重新評估軟件、固件和信

性息的完整性。

a）制定信息系統(tǒng)的事件處理計劃，該計劃應：

1）說明啟動事件處理計劃的條件和方法。

2）說明事件處理能力的組織結構。

3）定義需要報告的安全事件。

4）提供組織內事件處理能力的度量目標。

5）定義必要的資源和管理支持，以維護和增強事

件處理能力。

事件

一般6）由[賦值：云服務商定義的人員或角色]審查和云服

處理每年證據(jù)10.2

要求批準。務商

計劃b）向[賦值：云服務商定義的人員、角色或部門]，

發(fā)布事件處理計劃。

應急c）按照[賦值：云服務商定義的頻率]，審查事件

響應響應計劃。

與災d）如系統(tǒng)發(fā)生變更或事件響應計劃在實施、執(zhí)行

備或測試中遇到問題，及時修改事件處理計劃并通

報[賦值：云服務商定義的人員、角色或部門]。

e）防止事件處理計劃非授權泄露和更改。

事件一般c）將當前事件處理活動的經(jīng)驗，納入事件處理、云服

每年證據(jù)10.3

處理要求培訓及演練計劃，并實施相應的變更。務商

a）根據(jù)應急響應計劃，監(jiān)控和報告安全事件。云服

實時證據(jù)

b）當發(fā)現(xiàn)可疑的安全事件時，在[賦值：云服務務商

商定義的時間段]內，向本組織的事件處理部門報

事件一般

告。10.4

報告要求根據(jù)云服

c）建立事件報告渠道，當發(fā)生影響較大的安全事報告

需要務商

件時，向國家和地方應急響應組織及有關信息安

全主管部門報告。

14

GB/TXXXXX—XXXX

c）按照[賦值：云服務商定義的頻率]更新應急響云服

每年證據(jù)

應計劃。務商

應急

一般d）如系統(tǒng)發(fā)生變更或應急響應計劃在實施、執(zhí)行

響應10.8

要求或測試中遇到問題，及時修改應急響應計劃并向根據(jù)云服

計劃證據(jù)

[賦值：云服務商定義的人員、角色或部門]及客戶需要務商

進行通報。

a）向[賦值：云服務商定義的人員或角色]提供應

應急一般急響應培訓。云服

每年證據(jù)10.9

培訓要求b）當信息系統(tǒng)變更時，或按照[賦值：云服務商務商

定義的頻率]，重新開展培訓。

a）至少每年制定或修訂應急演練計劃，并與客戶

充分協(xié)商，聽取客戶意見。

應急一般云服

b）按照[賦值：云服務商定義的頻率]，執(zhí)行應急每年證據(jù)10.10

演練要求