《信息安全技術(shù)云計算服務(wù)運行監(jiān)管框架》

GB/TXXXXX—XXXX

信息安全技術(shù)云計算服務(wù)運行監(jiān)管框架

1范圍

本標(biāo)準(zhǔn)針對云服務(wù)商提供云計算服務(wù)的運行監(jiān)管環(huán)節(jié)，闡述了云計算服務(wù)運行監(jiān)管框架、過程以及

方式等內(nèi)容，用于指導(dǎo)運行監(jiān)管活動中的云服務(wù)商和運行監(jiān)管機構(gòu)的監(jiān)管活動，為云服務(wù)商制定和實施

云計算服務(wù)運行監(jiān)管策略和計劃、為運行監(jiān)管方進行運行監(jiān)管活動提供指導(dǎo)，以保障云計算服務(wù)安全能

力持續(xù)達到云計算客戶的安全需求。

本標(biāo)準(zhǔn)適用于政府部門采用云計算服務(wù)的運行監(jiān)管活動，也可供重點行業(yè)和其他企事業(yè)單位使用云

計算服務(wù)時參考。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T32400—2015信息技術(shù)云計算概覽與詞匯

GB/T31167—2014信息安全技術(shù)云計算服務(wù)安全指南

GB/T31168—2014信息安全技術(shù)云計算服務(wù)安全能力要求

3術(shù)語和定義

GB/T32400—2015界定的以及下列術(shù)語和定義適用于本文件。

3.1

云計算CloudComputing

一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。

注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。

3.2

云服務(wù)CloudService

通過云計算已定義的接口提供一種或多種能力。

3.3

云服務(wù)商CloudServiceProvider

云計算服務(wù)的供應(yīng)方。

3.4

云服務(wù)客戶CloudServiceCustomer

為使用云服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。

注：業(yè)務(wù)關(guān)系不一定包含經(jīng)濟條款。

3.5

1

GB/TXXXXX—XXXX

運行監(jiān)管方OperationSupervisionOrganization

獨立于云計算服務(wù)相關(guān)方的專業(yè)監(jiān)管機構(gòu)。

3.6

第三方評估機構(gòu)ThirdPartyAssessmentOrganizations(3PAO)

獨立于云計算服務(wù)相關(guān)方的專業(yè)評估機構(gòu)。

4縮略語

下列縮略語適用于本文件。

CSCCloudServiceCustomer

CSPCloudServiceProvider

OSOOperationSupervisionOrganization

3PAOThirdPartyAssessmentOrganization

5云計算服務(wù)運行監(jiān)管框架

5.1概述

云計算服務(wù)運行監(jiān)管應(yīng)確保云服務(wù)商的云安全控制措施、重大變更管理及應(yīng)急響應(yīng)能力持續(xù)滿足要

求，應(yīng)為云服務(wù)相關(guān)方提供云服務(wù)平臺相關(guān)的安全信息以便其能及時地掌握云計算服務(wù)的安全狀態(tài)。

5.2運行監(jiān)管框架

云計算服務(wù)運行監(jiān)管框架是基于國家標(biāo)準(zhǔn)GB/T31167—2014《信息安全技術(shù)云計算服務(wù)安全指

南》和GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中對云計算服務(wù)運行監(jiān)管的安全

要求而提出的。云計算服務(wù)運行監(jiān)管框架如圖1所示，

圖1運行監(jiān)管框架

云服務(wù)商持續(xù)監(jiān)控云計算平臺中安全控制、變更管理、應(yīng)急響應(yīng)策略、計劃、規(guī)程及措施的實施，

并記錄相關(guān)信息及實施情況，形成證明材料交付件；云服務(wù)商應(yīng)根據(jù)運行監(jiān)管方需要的頻率，定期提交

證明材料交付件；運行監(jiān)管方對云服務(wù)商提交的交付件進行分析審核、評估驗證等監(jiān)管活動，形成評估

結(jié)果；必要時應(yīng)根據(jù)評估結(jié)果給出合理的意見和建議。

5.2.1運行監(jiān)管角色

2

GB/TXXXXX—XXXX

運行監(jiān)管框架包含兩個角色：

a)云服務(wù)商：已經(jīng)通過國家網(wǎng)絡(luò)安全審查并授權(quán)提供云服務(wù)的供應(yīng)方；

b)運行監(jiān)管方：云服務(wù)客戶的管理部門（例如：政府信息安全管理部門、云服務(wù)客戶的主管部門

等）或由其指定或委托的第三方獨立監(jiān)管機構(gòu)。

5.2.2運行監(jiān)管目的

運行監(jiān)管的目的是保障：

a)云計算服務(wù)持續(xù)滿足國家相關(guān)法律法規(guī)、行政命令、指令、政策、條例和指導(dǎo)方針；

b)云服務(wù)商嚴格履行GB/T31167—2014《信息安全技術(shù)云計算服務(wù)安全指南》規(guī)定的運行監(jiān)管

責(zé)任；

c)云計算服務(wù)安全能力持續(xù)滿足國家標(biāo)準(zhǔn)GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能

力要求》規(guī)定的要求；

d)云計算服務(wù)相關(guān)方能夠及時地、有效地掌握云計算服務(wù)的運行質(zhì)量和安全狀態(tài)；

e)云計算服務(wù)的透明及可信；

f)云計算服務(wù)的安全風(fēng)險持續(xù)可控；

g)云服務(wù)商不斷提升云服務(wù)平臺的安全能力。

5.2.3運行監(jiān)管內(nèi)容

運行監(jiān)管的內(nèi)容應(yīng)包含：

a)云服務(wù)商在云服務(wù)平臺中計劃并實施的安全控制措施的有效性，確保云服務(wù)平臺中的安全控制

措施持續(xù)有效；

b)云服務(wù)商在云服務(wù)平臺中計劃并實施的重大變更活動的情況，確保云服務(wù)平臺中的重大變更活

動風(fēng)險可控；

c)云服務(wù)商對云服務(wù)平臺中的重大安全事件的響應(yīng)情況，確保云服務(wù)平臺中的應(yīng)急響應(yīng)活動及時

充分。

5.2.4運行監(jiān)管活動

運行監(jiān)管方應(yīng)對云計算服務(wù)開展安全控制監(jiān)管、變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管等活動，采用的方式

可包含：

a)分析審核：運行監(jiān)管方對云服務(wù)商提交的有關(guān)安全控制、變更管理及應(yīng)急響應(yīng)相關(guān)的證明材料

交付件進行分析及審核；

a)評估驗證：運行監(jiān)管方根據(jù)分析、審核結(jié)果對云服務(wù)平臺的安全風(fēng)險進行評估，必要時應(yīng)以抽

查、核查及測試等方式對交付件中的內(nèi)容進行驗證；

b)監(jiān)管結(jié)果：運行監(jiān)管方根據(jù)評估驗證結(jié)論，形成評估報告并告知云服務(wù)商評估結(jié)果，必要時應(yīng)

給出合理的意見和建議。

5.2.5運行監(jiān)管職責(zé)

5.2.5.1云服務(wù)商的職責(zé)

云服務(wù)商的監(jiān)管職責(zé)如下：

a)嚴格履行GB/T31167—2014《信息安全技術(shù)云計算服務(wù)安全指南》中云服務(wù)商應(yīng)承擔(dān)的運行

監(jiān)管責(zé)任；

b)嚴格履行GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中應(yīng)承擔(dān)的監(jiān)管責(zé)任；

3

GB/TXXXXX—XXXX

c)嚴格滿足GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中的安全能力要求；

d)制定并實施安全控制策略與計劃，確保安全控制措施持續(xù)有效；

e)制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

f)制定并實施應(yīng)急響應(yīng)計劃、重大安全事件處理策略；

g)制定并實施持續(xù)監(jiān)控策略與計劃，針對云平臺的控制措施、受控配置及運行狀態(tài)實施監(jiān)控；

h)開展周期性的風(fēng)險評估，在云平臺發(fā)生重大安全事件時或?qū)嵤┲卮笞兏螅瑧?yīng)重新進行風(fēng)險評

估，將記錄有評估結(jié)果的風(fēng)險評估報告提交給運行監(jiān)管方；

i)按照運行監(jiān)管方的要求記錄有關(guān)安全控制措施、重大變更及應(yīng)急響應(yīng)的相關(guān)信息及實施情況并

歸檔，以支撐運行監(jiān)管活動。

5.2.5.2運行監(jiān)管方的職責(zé)

運行監(jiān)管方的監(jiān)管職責(zé)如下：

a)監(jiān)督云服務(wù)商履行GB/T31167—2014《信息安全技術(shù)云計算服務(wù)安全指南》中應(yīng)實施的運行

監(jiān)管措施；

b)監(jiān)督云服務(wù)商履行GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中應(yīng)實施的

安全措施；

c)監(jiān)督云服務(wù)商達到GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中的安全能

力要求；

d)制定并維護運行監(jiān)管策略與計劃，對云服務(wù)商的云服務(wù)平臺實施運行監(jiān)管活動；

e)制定并維護運行監(jiān)管活動中所需交付件的內(nèi)容及格式要求，必要時應(yīng)提供模版；

f)定期接收云服務(wù)商提交的相關(guān)證明材料的交付件，對交付件內(nèi)容進行分析、評估及審核；

g)評估云服務(wù)商的安全控制策略與計劃、安全控制措施并監(jiān)督其實施情況，必要時應(yīng)給出合理的

意見和建議；

h)評估云服務(wù)商的重大變更策略與規(guī)程、配置管理計劃與配置基線并監(jiān)督其實施情況，必要時應(yīng)

給出合理的意見和建議；

i)評估云服務(wù)商的應(yīng)急響應(yīng)計劃、重大安全事件處理策略并監(jiān)督其實施情況，必要時應(yīng)給出合理

的意見和建議；

j)定期對云服務(wù)商的云服務(wù)平臺的安全性、透明性、可用性等安全屬性實施全面分析與評估，形

成評估報告并歸檔，必要時應(yīng)給出合理的意見和建議。

6云計算服務(wù)運行監(jiān)管過程

6.1概述

云計算服務(wù)運行監(jiān)管過程主要針對云計算服務(wù)的安全控制、變更管理、應(yīng)急響應(yīng)的運行監(jiān)管。云計

算服務(wù)運行監(jiān)管過程的一個重要作用就是要求云服務(wù)商提供證據(jù)以證明其云服務(wù)安全能力持續(xù)符合

GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》，證明其實施的安全控制措施的有效性、

變更管理的合理性及應(yīng)急響應(yīng)的充分性。

云計算服務(wù)運行監(jiān)管的活動包含三個部分：

a)安全控制監(jiān)管；

b)變更管理監(jiān)管；

c)應(yīng)急響應(yīng)監(jiān)管。

6.2安全控制監(jiān)管

4

GB/TXXXXX—XXXX

安全控制監(jiān)管有助于運行監(jiān)管方對云服務(wù)商實施的安全控制措施有全面的認知，同時，方便運行監(jiān)

管方了解并掌握安全控制措施的運行情況，以便運行監(jiān)管方分析、審核、評估、驗證云服務(wù)平臺的安全

性及安全控制措施的有效性。

6.2.1安全控制監(jiān)管要求

6.2.1.1云服務(wù)商的要求

a)云服務(wù)商應(yīng)：根據(jù)GB/T31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中相關(guān)安

全能力要求制定安全控制策略與計劃，并實施相應(yīng)的安全控制措施；

b)制定并實施持續(xù)監(jiān)控策略，對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)定期維護并更新云服務(wù)平臺中的安全控制措施，確保其持續(xù)有效；

d)定期對云服務(wù)平臺中已實施的安全控制措施進行測評并形成測評報告；

e)記錄云服務(wù)平臺中有關(guān)安全控制措施的相關(guān)信息及實施情況并歸檔；

f)根據(jù)運行監(jiān)管方的要求，提交有關(guān)安全控制措施的相關(guān)交付件。

6.2.1.2運行監(jiān)管方的要求

運行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商嚴格履行安全控制策略與計劃并實施安全控制措施；

b)監(jiān)督云服務(wù)商嚴格履行持續(xù)監(jiān)控策略并對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)分析、評估、審核云服務(wù)商提交的與安全控制措施相關(guān)的交付件，確保安全控制措施的合規(guī)性；

d)監(jiān)督云服務(wù)商對不合規(guī)的安全控制措施進行整改，并跟蹤整改情況；

e)根據(jù)需要的頻率，以審查、抽查、測試、評估等方式對云服務(wù)商的安全控制措施的有效性進行

驗證；

6.2.2安全控制監(jiān)管的內(nèi)容

安全控制監(jiān)管的目的是要求云服務(wù)商提供能證明其實施的安全控制措施滿足GB/T31168—2014

《信息安全技術(shù)云計算服務(wù)安全能力要求》的交付件。通過國家網(wǎng)絡(luò)安全審查并授權(quán)為政府部門提供

云計算服務(wù)的云服務(wù)商，為保證審查結(jié)論持續(xù)有效，應(yīng)以與運行監(jiān)管方約定的時間點（天、周、月、年

等）或運行監(jiān)管方需要的頻率定期提交能證明其安全控制措施有效性的交付件。

附錄A中所示的是安全控制監(jiān)管所要求提交的證明材料交付件。

6.2.3安全控制監(jiān)管流程

安全控制的監(jiān)管流程如下：

a)云服務(wù)商制定安全控制策略與計劃，并實施安全控制措施；

b)云服務(wù)商制定持續(xù)監(jiān)控策略，并對已實施的安全控制措施進行持續(xù)監(jiān)控；

c)云服務(wù)商定期提交能證明其安全控制措施有效性的相關(guān)交付件，例如，運行監(jiān)管方可根據(jù)GB/T

31168—2014《信息安全技術(shù)云計算服務(wù)安全能力要求》中的相關(guān)安全能力要求提供《系統(tǒng)

安全計劃》、《系統(tǒng)風(fēng)險持續(xù)改進》等證明材料模版，以便云服務(wù)商根據(jù)要求填寫；

d)運行監(jiān)管方對云服務(wù)商提交的交付件進行分析、評估及審核，并將評審結(jié)果告知云服務(wù)商，例

如，安全控制措施合規(guī)或安全控制措施不合規(guī)應(yīng)限期整改等；

e)云服務(wù)商應(yīng)定期委托第三方評估機構(gòu)或有評估資質(zhì)的運行監(jiān)管方對云服務(wù)平臺中已實施的安

全控制措施進行測評，安全測試內(nèi)容包括但不限于云平臺系統(tǒng)/組件、基礎(chǔ)設(shè)施、數(shù)據(jù)庫、物

理環(huán)境等，并提交相應(yīng)的測評報告給運行監(jiān)管方，例如，《安全措施測評報告》、《滲透測試報

5

GB/TXXXXX—XXXX

告》、《脆弱性掃描報告》等；

f)運行監(jiān)管方可根據(jù)云服務(wù)客戶要求或安全監(jiān)管需求，以審查、抽查、測試、評估等方式定期或

不定期地對云服務(wù)商的安全控制措施的有效性進行驗證；

g)如果云服務(wù)商的安全控制措施不合規(guī)，運行監(jiān)管方可要求云服務(wù)商對不合規(guī)的安全控制措施限

期整改并跟蹤整改情況，整改完成后重新進行評估、審核。

6.3變更管理監(jiān)管

變更管理過程有助于維持云服務(wù)平臺的安全配置基線，預(yù)防重大安全事件的發(fā)生。云服務(wù)商應(yīng)制定

配置管理計劃、變更管理方法、變更實施流程等策略與規(guī)程對例行的日常變更、安全變更、需求變更等

進行安全地管理。在進行重大變更前，云服務(wù)商應(yīng)對計劃實施的變更進行安全影響分析以確保變更不會

對云服務(wù)平臺及客戶業(yè)務(wù)環(huán)境的安全產(chǎn)生負面影響。

6.3.1變更管理監(jiān)管要求

6.3.1.1云服務(wù)商的要求

云服務(wù)商應(yīng)：

a)制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)制定并維護云平臺受控配置列表，明確重大變更項及需定期變更的配置項；

c)定期對病毒庫、入侵檢測規(guī)則庫、防火墻規(guī)則庫、漏洞庫等與云平臺安全相關(guān)的重要配置項進

行更新；

d)在云平臺上實施變更之前，應(yīng)對變更項進行安全影響分析以確保該變更不會對云平臺環(huán)境或云

服務(wù)客戶業(yè)務(wù)環(huán)境造成潛在的安全影響；

e)在云平臺上實施變更之前，對重大變更項進行測試、驗證和記錄；

f)對重大變更實施物理和邏輯訪問控制，并對變更動作進行審計；

g)限制云計算系統(tǒng)開發(fā)方和集成方對云服務(wù)平臺中的信息系統(tǒng)及軟硬件和固件進行直接變更；

h)定期對云計算系統(tǒng)的開發(fā)方和集成方掌握的變更權(quán)限進行審查和再評估；

i)記錄云服務(wù)平臺中有關(guān)重大變更活動的相關(guān)信息及實施情況并歸檔；

j)根據(jù)運行監(jiān)管方的要求，提交有關(guān)重大變更活動的相關(guān)交付件。

6.3.1.2運行監(jiān)管方的要求

運行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商嚴格履行重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)監(jiān)督云服務(wù)商定期更新并維護云平臺受控配置列表、重大變更項及受控配置項；

c)確保云服務(wù)商在在云服務(wù)平臺上實施重大變更前，對變更項實施測試、驗證及安全影響分析；

d)定期對涉及云平臺受控配置變更的有關(guān)活動進行審查；

e)分析、審核云服務(wù)商提交的與重大變更活動相關(guān)的交付件，根據(jù)安全影響分析結(jié)果給出合理的

意見和建議。

6.3.2變更管理監(jiān)管內(nèi)容

重大變更涉及的主要內(nèi)容包括但不限于：

a)鑒別（包括身份鑒別和數(shù)據(jù)源鑒別）和訪問控制措施進行變更；

b)數(shù)據(jù)存儲的實現(xiàn)方法的變更；

c)云服務(wù)平臺中軟件代碼的更新；

6

GB/TXXXXX—XXXX

d)備份機制和流程的變更；

e)與外部服務(wù)商網(wǎng)絡(luò)連接的變更；

f)安全控制措施的變更；

g)已部署的商業(yè)軟硬件產(chǎn)品的替換；

h)云計算服務(wù)分包商的變更，例如PaaS、SaaS服務(wù)商更換IaaS服務(wù)商。

6.3.3變更管理監(jiān)管流程

重大變更的監(jiān)管流程如下：

a)云服務(wù)商應(yīng)制定并實施重大變更策略與規(guī)程、配置管理計劃與配置基線；

b)云服務(wù)商對云平臺受控配置列表中的重大變更項及受控配置項進行持續(xù)監(jiān)控；

c)云服務(wù)商在實施重大變更之前，應(yīng)以與運行監(jiān)管方約定的時間提前通知運行監(jiān)管方；

d)云服務(wù)商在實施重大變更之前，應(yīng)對變更項進行測試、驗證及安全影響分析；

e)云服務(wù)商應(yīng)根據(jù)運行監(jiān)管方的要求提供有關(guān)計劃實施的重大變更的交付件，例如，運行監(jiān)管方

提供《重大變更情況》、《重大變更安全影響分析表》、《安全評估計劃》等證明材料的模版，

以便云服務(wù)商根據(jù)要求填寫；

f)運行監(jiān)管方對云服務(wù)商提交的交付件進行分析、評估及審核，根據(jù)安全影響分析結(jié)果給出合理

的意見和建議，必要時應(yīng)協(xié)助云服務(wù)商更改重大變更計劃。例如，如果云服務(wù)商計劃實施的

變更可能會增加安全風(fēng)險或暴露出不能接受的其他風(fēng)險，運行監(jiān)管方應(yīng)給出意見和建議：

1)變更計劃合規(guī)，建議實施變更計劃；

2)變更計劃不合規(guī)，建議更改變更計劃，重新提交評審；

3)變更存在安全風(fēng)險，建議撤銷變更計劃。

g)云服務(wù)商完成重大變更后，應(yīng)將有關(guān)重大變更活動記錄在案，在與運行監(jiān)管方預(yù)先約定的時間

內(nèi)提交最新的有關(guān)云服務(wù)平臺的安全評估報告，例如，云服務(wù)商委托第三方評估機構(gòu)或有評

估資質(zhì)的運行監(jiān)管方對云平臺進行測評，然后將重大變更情況和評估結(jié)果形成《安全評估報

告》、《變更說明》等交付件提交給運行監(jiān)管方；

h)運行監(jiān)管方對云服務(wù)商的交付件進行審核，確保云服務(wù)商的重大變更活動的相關(guān)信息與實施情

況與交付件中的內(nèi)容一致。

6.4應(yīng)急響應(yīng)監(jiān)管

應(yīng)急響應(yīng)的目的是為了確保云服務(wù)相關(guān)方在發(fā)生安全事件時可以相互協(xié)調(diào)及溝通，并以團隊協(xié)作的

方式快速應(yīng)對和解決安全事件。

云服務(wù)商應(yīng)制定并維護應(yīng)急響應(yīng)計劃以證明其有能力對重大安全事件做出及時、充分的響應(yīng)。一旦

發(fā)現(xiàn)重大安全事件，例如，拒絕服務(wù)攻擊、惡意代碼感染、非授權(quán)訪問等，都應(yīng)及時通知運行監(jiān)管方，

并及時對安全事件進行處理。

6.4.1應(yīng)急響應(yīng)監(jiān)管要求

6.4.1.1云服務(wù)商的要求

云服務(wù)商應(yīng)：

a)制定并實施應(yīng)急響應(yīng)計劃、重大安全事件處理策略；

b)遵守變更管理過程中制定重大變更策略與規(guī)程、配置管理計劃與配置基線；

c)檢測到重大安全事件時應(yīng)及時處理并以適當(dāng)?shù)姆绞酵ㄖ品?wù)相關(guān)方；

d)記錄云服務(wù)平臺中有關(guān)應(yīng)急響應(yīng)活動的相關(guān)信息及實施情況并歸檔；

7

GB/TXXXXX—XXXX

e)根據(jù)運行監(jiān)管方的要求，提交有關(guān)應(yīng)急響應(yīng)活動的相關(guān)交付件。

6.4.1.2運行監(jiān)管方的要求

運行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商制定并實施應(yīng)急響應(yīng)計劃、重大安全事件處理策略；

b)監(jiān)督云服務(wù)商的及時處理安全事件并跟蹤處理進展直到閉環(huán)；

c)協(xié)助云服務(wù)商處理重大安全事件并跟蹤事件處理情況直到閉環(huán)；

d)分析、審核云服務(wù)商提交的與應(yīng)急響應(yīng)活動相關(guān)的交付件，必要時應(yīng)給出合理的意見和建議；

6.4.2應(yīng)急響應(yīng)監(jiān)管內(nèi)容

涉及應(yīng)急響應(yīng)的安全事件包括但不限于：

a)非授權(quán)訪問事件，如對云服務(wù)平臺下的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)或其他計算資源進行非授權(quán)邏輯或物理

訪問等；

b)拒絕服務(wù)攻擊事件；

c)惡意代碼感染，如云服務(wù)平臺被病毒、蠕蟲、特洛伊木馬等惡意代碼感染；

d)客戶違反云計算服務(wù)的使用策略，例如發(fā)送垃圾郵件等。

6.4.3應(yīng)急響應(yīng)監(jiān)管流程

應(yīng)急響應(yīng)的監(jiān)管流程如下：

a)如果云服務(wù)商檢測到可能會導(dǎo)致云服務(wù)客戶的業(yè)務(wù)中斷或?qū)υ品?wù)客戶數(shù)據(jù)的機密性和完整

性有威脅的事件時，應(yīng)通知可能受影響的云服務(wù)客戶；

b)通知完云服務(wù)客戶后，云服務(wù)商應(yīng)并與運行監(jiān)管方進行溝通，以便運行監(jiān)管方獲得與此安全事

件相關(guān)的信息；

c)如果云服務(wù)商需要協(xié)助處理安全事件，運行監(jiān)管方應(yīng)協(xié)助云服務(wù)商及時處理安全事件；

d)運行監(jiān)管方應(yīng)確保所有受影響的云服務(wù)客戶都已經(jīng)接收到云服務(wù)商的通知并知悉安全事件的

有關(guān)信息、處理情況及安全影響；

e)運行監(jiān)管方應(yīng)記錄有關(guān)此應(yīng)急響應(yīng)活動的相關(guān)信息及處理情況；

i)運行監(jiān)管方對云服務(wù)商的交付件進行審核，確保云服務(wù)商的應(yīng)急響應(yīng)活動的相關(guān)信息與實施情

況與交付件中的內(nèi)容一致。

7云計算服務(wù)運行監(jiān)管的實現(xiàn)機制

7.1概述

為了履行在運行監(jiān)管活動中的責(zé)任，并實現(xiàn)運行監(jiān)管的目的，運行監(jiān)管方在運行監(jiān)管過程中需要接

收云服務(wù)商提交的有關(guān)安全能力的交付件。運行監(jiān)管方應(yīng)通過有效、準(zhǔn)確、及時地方式接收交付件以便

對云服務(wù)商的云服務(wù)安全能力實施分析、評估、審核、驗證等活動。因此，云服務(wù)商應(yīng)努力尋求自動化

機制以降低人力、物力和時間成本，提升并改進運行監(jiān)管過程的效率和可靠性，通過將人、過程及技術(shù)

結(jié)合的方式來支撐運行監(jiān)管活動。

7.2自動機制

8

GB/TXXXXX—XXXX

自動機制可增加運行監(jiān)管過程的安全性并減少運行監(jiān)管過程中用于處理重復(fù)性工作所花費的時間。

自動化獲取運行監(jiān)管交付件的機制，可以用于對人與人之間交互的需求較少的處理過程。隨著云服務(wù)平

臺自動機制的逐漸成熟與不斷提高，最終應(yīng)使用自動機制支撐整個運行監(jiān)管過程。

7.2.1主要內(nèi)容

自動機制涉及的主要內(nèi)容包括但不限于：

a)限制對各類介質(zhì)的訪問，并對介質(zhì)訪問情況進行審計；

b)對配置項的參數(shù)進行集中管理、應(yīng)用和驗證；

c)檢測云計算服務(wù)平臺中新增的非授權(quán)軟件、硬件或固件組件；

d)維護信息系統(tǒng)組件清單；

e)支持事件處理過程；

f)支持事件報告過程；

g)提高事件響應(yīng)支持資源的可用性；

h)對審查、分析和報告過程進行整合，以支持對可疑活動的調(diào)查和響應(yīng)；

i)比較不同時間的脆弱性掃描結(jié)果，以判斷信息系統(tǒng)漏洞趨勢；

j)更新惡意代碼防護機制；

k)管理賬號；

l)監(jiān)視和控制遠程訪問會話，以檢測網(wǎng)絡(luò)攻擊，確保遠程訪問策略得以實現(xiàn)；

m)對缺陷修復(fù)后的組件進行檢測；

n)對攻擊事件進行準(zhǔn)實時分析；

o)溫濕度控制

7.2.2注意事項

云服務(wù)商在實現(xiàn)自動機制時應(yīng)考慮：

a)從各種信息源中提取信息；

b)使用開放性規(guī)范或協(xié)議；

c)提供與其他工具的可交互性；

d)遵守國家相關(guān)法律、行政命令、指令、政策、條例、標(biāo)準(zhǔn)和指導(dǎo)方針；

e)能夠?qū)Π踩刂?、變更管理及?yīng)急響應(yīng)過程中的信息進行整合并格式化輸出。

9

GB/TXXXXX—XXXX

附錄A安全控制項

交付備注

安全安全頻負責(zé)

屬性內(nèi)容件類（章

類項率方

型節(jié)號）

資源一般c）在工作計劃和預(yù)算文件中，將信息安全作為單云服

每年證據(jù)5.2

分配要求列項予以說明。務(wù)商

云服務(wù)商應(yīng)根據(jù)相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)的

要求，以及可能的客戶需求，并在風(fēng)險評估的基

礎(chǔ)上，將以下內(nèi)容列入信息系統(tǒng)采購合同：

a）安全功能要求。

采購一般b）安全強度要求。云服

每年證據(jù)5.4

過程要求c）安全保障要求。務(wù)商

d）安全相關(guān)文檔要求。

e）保密要求。

f）開發(fā)環(huán)境和預(yù)期運行環(huán)境描述。

g）驗收準(zhǔn)則。

h）強制配置要求，如功能、端口、協(xié)議和服務(wù)。

c）按照[賦值：云服務(wù)商定義的頻率]審查開發(fā)過

程、標(biāo)準(zhǔn)、工具以及工具選項和配置，判定有關(guān)

系統(tǒng)

過程、標(biāo)準(zhǔn)、工具以及工具選項和配置是否滿足[賦

開發(fā)

值：云服務(wù)商定義的安全需求]。

與供云服

d）要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在開發(fā)過每年證據(jù)

應(yīng)鏈務(wù)商

開發(fā)程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn)，并以[選擇：[賦

安全

過程、

增強值：云服務(wù)商定義的頻率]；[賦值：云服務(wù)商定義

標(biāo)準(zhǔn)5.10

要求的項目審查里程碑]；交付時]為節(jié)點，檢查質(zhì)量度

和工量標(biāo)準(zhǔn)的落實情況。

具

i）要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商即使在交

付信息系統(tǒng)、組件或服務(wù)后，也應(yīng)跟蹤信息系統(tǒng)、云服

每月證據(jù)

組件或服務(wù)的漏洞情況，在發(fā)布漏洞補丁前便應(yīng)務(wù)商

通知云服務(wù)商，且應(yīng)將漏洞補丁交由云服務(wù)商審

查、驗證并允許云服務(wù)商自行安裝。

第三

開發(fā)一般a）制定并實施安全評估計劃。方評

每年報告

商安要求b）以[賦值：云服務(wù)商定義的深度和覆蓋度]執(zhí)行估機

全測[選擇：單元；集成；系統(tǒng)；回歸]測試或評估。構(gòu)5.12

試和e）要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商按照[賦值：第三

增強

評估云服務(wù)商定義的約束條件]，以[賦值：云服務(wù)商每年方評報告

要求

定義的廣度和深度]執(zhí)行滲透性測試。估機

10

GB/TXXXXX—XXXX

構(gòu)

云服

每年報告

務(wù)商

b）向[選擇：正品廠商；[賦值：云服務(wù)商定義的

組件外部報告機構(gòu)]；[賦值：云服務(wù)商定義的人員和角

增強每季云服

真實色]；其他有關(guān)方面]報告贗品組件。證據(jù)5.15

要求度務(wù)商

性f）按照[賦值：云服務(wù)商定義的頻率]檢查信息系

統(tǒng)中是否有贗品組件。

供應(yīng)b）確保[賦值：云服務(wù)商定義的重要設(shè)備]通過[賦

一般云服

鏈保值：政府和行業(yè)有關(guān)部門已設(shè)立的信息安全測評每年證據(jù)5.17

要求務(wù)商

護制度]的安全檢測。

a）在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上，對

通信進行監(jiān)控；在客戶之外的外部人員訪問系統(tǒng)

的關(guān)鍵邏輯邊界和客戶訪問系統(tǒng)的關(guān)鍵邏輯邊界

上，對通信進行監(jiān)控。

b）將允許外部公開直接訪問的組件，劃分在一個

一般云服

與內(nèi)部網(wǎng)絡(luò)邏輯隔離的子網(wǎng)絡(luò)上。并確保允許外實時證據(jù)

要求務(wù)商

部人員訪問的組件與允許客戶訪問的組件在邏輯

層面實現(xiàn)嚴格的網(wǎng)絡(luò)隔離。

c）確保與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接只能通過嚴

格管理的接口進行，根據(jù)云服務(wù)商的安全架構(gòu)，

該接口上應(yīng)部署有邊界保護設(shè)備。

系統(tǒng)a）為云計算服務(wù)搭建物理獨立的計算平臺、存儲

與通邊界云服

平臺、內(nèi)部網(wǎng)絡(luò)環(huán)境及相關(guān)維護、安防、電源等每年證據(jù)

信保保護設(shè)施，并經(jīng)由受控邊界與外部網(wǎng)絡(luò)相連。務(wù)商

護g）構(gòu)建物理上獨立的管理網(wǎng)絡(luò)，連接管理工具和

被管設(shè)備或資源，以對云計算平臺進行管理。

c）采取以下措施：

增強1）對每一個外部的電信服務(wù)接口進行管理。

6.2

要求2）為每一個接口制定通信流策略。

3）采取有關(guān)措施對所傳輸?shù)男畔⒘鬟M行必要的保

密性和完整性保護。

根據(jù)云服

4）當(dāng)根據(jù)業(yè)務(wù)需要，出現(xiàn)通信流策略的例外情況證據(jù)

需要務(wù)商

時，將業(yè)務(wù)需求和通信持續(xù)時間記錄到通信流策

略的例外條款中。

5）按照[賦值：云服務(wù)商定義的頻率]，對網(wǎng)絡(luò)通

信流策略中的例外條款進行審查，在通信流策略

中刪除不再需要的例外條款。

11

GB/TXXXXX—XXXX

c）配置惡意代碼防護機制，以：

1）按照[賦值：云服務(wù)商定義的頻率]定期掃描信

息系統(tǒng)，以及在[選擇：終端；網(wǎng)絡(luò)出入口]下載、

惡意

一般打開、執(zhí)行外部文件時對其進行實時掃描。每季云服

代碼證據(jù)6.11

要求2）當(dāng)檢測到惡意代碼后，實施[選擇：阻斷或隔離度務(wù)商

防護

惡意代碼；向管理員報警；[賦值：云服務(wù)商定義

的活動]]。

d）及時掌握系統(tǒng)的惡意代碼誤報率，并分析誤報

對信息系統(tǒng)可用性的潛在影響。

a）通過以下步驟管理鑒別憑證：

4）針對鑒別憑證的初始分發(fā)、丟失處置以及收回，

每兩云服

建立和實施管理規(guī)程。證據(jù)

年務(wù)商

6）明確鑒別憑證的最小和最大生存時間限制以及

再用條件。

鑒別a）通過以下步驟管理鑒別憑證：

一般

憑證7）對[賦值：云服務(wù)商定義的鑒別憑證]，強制要7.5

要求

管理求在[賦值：云服務(wù)商定義的時間段]之后更新鑒別

憑證。每季云服

證據(jù)

b）對于基于口令的鑒別：度務(wù)商

4）強制執(zhí)行最小和最大生存時間限制，以滿足[賦

值：云服務(wù)商定義的最小生存時間和最大生存時

訪問間]。

控制一般i）按照[賦值：云服務(wù)商定義的頻率]，檢查賬號是云服

每年證據(jù)

要求否符合賬號管理的要求。務(wù)商

賬號b）在[賦值：云服務(wù)商定義的時間段]后自動[選項：

7.8

管理增強刪除；禁用]臨時和應(yīng)急賬號。每季云服

證據(jù)

要求c）在[賦值：云服務(wù)商定義的時間段]后自動關(guān)閉度務(wù)商

非活躍賬號。

無線一般云服

實時證據(jù)7.20

訪問要求云服務(wù)商應(yīng)禁用無線網(wǎng)絡(luò)直接訪問云計算平臺。務(wù)商

可供

公共

一般每季云服

訪問d）按照[賦值：云服務(wù)商定義的頻率]審查公開發(fā)證據(jù)7.23

要求度務(wù)商

的內(nèi)布的信息中是否含有非公開信息，一經(jīng)發(fā)現(xiàn)，立

容即刪除。

12

GB/TXXXXX—XXXX

a）制定并實施云計算平臺的配置管理計劃。

b）在配置管理計劃中，規(guī)定配置管理相關(guān)人員的

角色和職責(zé)，并詳細規(guī)定配置管理的流程。

配置

增強c）在系統(tǒng)生命周期內(nèi)，建立配置項標(biāo)識和管理流云服

管理每年證據(jù)8.2

要求程。務(wù)商

計劃

d）定義信息系統(tǒng)的配置項并將其納入配置管理計

劃。

e）保護配置管理計劃，以防非授權(quán)的泄露和變更。

d）審查所提交的信息系統(tǒng)受控配置的變更事項，

根據(jù)安全影響分析結(jié)果進行批準(zhǔn)或否決，并記錄

變更一般云服

變更決定。每年證據(jù)8.4

控制要求e）保留信息系統(tǒng)中受控配置的變更記錄。務(wù)商

f）按照[賦值：云服務(wù)商定義的頻率]對與系統(tǒng)受

控配置的變更有關(guān)的活動進行審查。

a）按照[賦值：云服務(wù)商定義的頻率]，對信息系

統(tǒng)進行審查，以標(biāo)識不必要或不安全的功能、端

口、協(xié)議或服務(wù)。

b）關(guān)閉[賦值：云服務(wù)商定義的不必要或不安全

配置的功能、端口、協(xié)議和服務(wù)]。

最小

管理增強c）信息系統(tǒng)應(yīng)按照[選擇：[賦值：云服務(wù)商定義云服

功能每月證據(jù)8.6

要求的軟件使用與限制策略]；對軟件使用的授權(quán)規(guī)務(wù)商

原則

則]，禁止運行相關(guān)程序。

d）按照白名單策略，確定[賦值：云服務(wù)商定義

的在云計算平臺上允許運行的軟件]，禁止非授權(quán)

軟件在云計算平臺上運行，并按照[賦值：云服務(wù)

商定義的頻率]，審查和更新授權(quán)軟件列表。

a）制定和維護信息系統(tǒng)組件清單，該清單應(yīng)滿足

下列要求：

1）能準(zhǔn)確反映當(dāng)前信息系統(tǒng)的情況。

2）與信息系統(tǒng)邊界一致。

一般云服

信息3）達到信息安全管理所必要的顆粒度。每年證據(jù)

要求務(wù)商

系統(tǒng)4）包含[賦值：云服務(wù)商定義的為實現(xiàn)有效的資產(chǎn)

8.7

組件追責(zé)所必要的信息]。

清單b）按照[賦值：云服務(wù)商定義的頻率]，審查并更

新信息系統(tǒng)組件清單。

a）按照[賦值：云服務(wù)商定義的頻率]，使用自動

增強云服

機制檢測云計算服務(wù)平臺中新增的非授權(quán)軟件、實時證據(jù)

要求務(wù)商

硬件或固件組件。

f）對所有遠程維護和診斷活動進行審計，按照[賦

遠程一般云服

維護值：云服務(wù)商定義的頻率]對所有遠程維護和診斷每年證據(jù)9.4

維護要求務(wù)商

會話的記錄進行審查。

13

GB/TXXXXX—XXXX

維護一般a）建立對維護人員的授權(quán)流程，對已獲授權(quán)的維云服

每年證據(jù)9.5

人員要求護組織或人員建立列表。務(wù)商

a）標(biāo)識、報告和修復(fù)云計算平臺的缺陷。

一般云服

b）在與安全相關(guān)的軟件和固件升級包發(fā)布后，及每月證據(jù)

缺陷要求務(wù)商

時安裝升級包。9.7

修復(fù)

增強云服務(wù)商應(yīng)使用自動檢測機制，按照[賦值：云服云服

每月證據(jù)

要求務(wù)商定義的頻率]對缺陷修復(fù)后的組件進行檢測。務(wù)商

安全

一般云服

功能a）驗證[賦值：云服務(wù)商定義的安全功能]是否正每月證據(jù)9.8

要求務(wù)商

驗證常運行。

軟件、

固件、

增強云服

信息a）按照[賦值：云服務(wù)商定義的頻率]對云計算平每月證據(jù)9.9

要求務(wù)商

完整臺進行完整性掃描，并重新評估軟件、固件和信

性息的完整性。

a）制定信息系統(tǒng)的事件處理計劃，該計劃應(yīng)：

1）說明啟動事件處理計劃的條件和方法。

2）說明事件處理能力的組織結(jié)構(gòu)。

3）定義需要報告的安全事件。

4）提供組織內(nèi)事件處理能力的度量目標(biāo)。

5）定義必要的資源和管理支持，以維護和增強事

件處理能力。

事件

一般6）由[賦值：云服務(wù)商定義的人員或角色]審查和云服

處理每年證據(jù)10.2

要求批準(zhǔn)。務(wù)商

計劃b）向[賦值：云服務(wù)商定義的人員、角色或部門]，

發(fā)布事件處理計劃。

應(yīng)急c）按照[賦值：云服務(wù)商定義的頻率]，審查事件

響應(yīng)響應(yīng)計劃。

與災(zāi)d）如系統(tǒng)發(fā)生變更或事件響應(yīng)計劃在實施、執(zhí)行

備或測試中遇到問題，及時修改事件處理計劃并通

報[賦值：云服務(wù)商定義的人員、角色或部門]。

e）防止事件處理計劃非授權(quán)泄露和更改。

事件一般c）將當(dāng)前事件處理活動的經(jīng)驗，納入事件處理、云服

每年證據(jù)10.3

處理要求培訓(xùn)及演練計劃，并實施相應(yīng)的變更。務(wù)商

a）根據(jù)應(yīng)急響應(yīng)計劃，監(jiān)控和報告安全事件。云服

實時證據(jù)

b）當(dāng)發(fā)現(xiàn)可疑的安全事件時，在[賦值：云服務(wù)務(wù)商

商定義的時間段]內(nèi)，向本組織的事件處理部門報

事件一般

告。10.4

報告要求根據(jù)云服

c）建立事件報告渠道，當(dāng)發(fā)生影響較大的安全事報告

需要務(wù)商

件時，向國家和地方應(yīng)急響應(yīng)組織及有關(guān)信息安

全主管部門報告。

14

GB/TXXXXX—XXXX

c）按照[賦值：云服務(wù)商定義的頻率]更新應(yīng)急響云服

每年證據(jù)

應(yīng)計劃。務(wù)商

應(yīng)急

一般d）如系統(tǒng)發(fā)生變更或應(yīng)急響應(yīng)計劃在實施、執(zhí)行

響應(yīng)10.8

要求或測試中遇到問題，及時修改應(yīng)急響應(yīng)計劃并向根據(jù)云服

計劃證據(jù)

[賦值：云服務(wù)商定義的人員、角色或部門]及客戶需要務(wù)商

進行通報。

a）向[賦值：云服務(wù)商定義的人員或角色]提供應(yīng)

應(yīng)急一般急響應(yīng)培訓(xùn)。云服

每年證據(jù)10.9

培訓(xùn)要求b）當(dāng)信息系統(tǒng)變更時，或按照[賦值：云服務(wù)商務(wù)商

定義的頻率]，重新開展培訓(xùn)。

a）至少每年制定或修訂應(yīng)急演練計劃，并與客戶

充分協(xié)商，聽取客戶意見。

應(yīng)急一般云服

b）按照[賦值：云服務(wù)商定義的頻率]，執(zhí)行應(yīng)急每年證據(jù)10.10

演練要求