國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》（征求意見稿）編制說明

國家標(biāo)準(zhǔn)材料工作簡況1.1任務(wù)來源根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2023年下達的國家標(biāo)準(zhǔn)制修訂計劃建議，《信息安全技術(shù)云計算服務(wù)安全能力評估方法》由中國電子技術(shù)標(biāo)準(zhǔn)化研究院負責(zé)承辦，國標(biāo)計劃號：20231926-T-469。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。1.2制定背景云計算是信息技術(shù)產(chǎn)業(yè)發(fā)展的戰(zhàn)略重點，國外政府重視云計算在政府部門的應(yīng)用以及云計算節(jié)約資源服務(wù)便捷的優(yōu)勢，通過制定云計算發(fā)展戰(zhàn)略和相關(guān)政策法規(guī)，為云計算的良性發(fā)展提供保障。2010年12月，美國聯(lián)邦CIO發(fā)布《聯(lián)邦信息技術(shù)管理改革25點實施計劃》，明確提出聯(lián)邦政府“云技術(shù)”三步走的戰(zhàn)略。2011年2月，美國總統(tǒng)奧巴馬發(fā)布《聯(lián)邦云計算戰(zhàn)略》，同年12月，聯(lián)邦預(yù)算管理局發(fā)布《云計算環(huán)境信息系統(tǒng)安全授權(quán)》，正式啟動《聯(lián)邦風(fēng)險及授權(quán)管理計劃（FedRAMP）項目，要求進入政府采購清單目錄的云服務(wù)商，必須經(jīng)過FedRAMP的認證。歐盟也在云計算方面提出了云戰(zhàn)略等，時至今日，云計算已經(jīng)在美國、歐盟、日本等國家大量普及。美國也出臺了虛擬化安全、云計算訪問控制、云計算安全與隱私等10余份文件，歐盟也發(fā)布了云計算風(fēng)險評估、云計算安全框架等多份文檔。國際標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27也先后發(fā)布了ISO27017和ISO27018等國際標(biāo)準(zhǔn)，規(guī)范云計算安全使用。目前，云計算技術(shù)已經(jīng)普遍應(yīng)用于現(xiàn)今的互聯(lián)網(wǎng)服務(wù)中，金融云、教育云、醫(yī)療云等應(yīng)用形式多種多樣，為規(guī)范國內(nèi)云計算服務(wù)的安全使用，2019年7月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部等四部門聯(lián)合發(fā)布了《云計算服務(wù)安全評估辦法》（2019年第2號），要求參照國家有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，對為黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供云計算服務(wù)的云平臺開展安全評估工作，以提高云計算服務(wù)平臺的安全性、可控性，保障國家安全和社會穩(wěn)定。2020年4月13日，國家互聯(lián)網(wǎng)信息辦公室等12部委聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》中也提出對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購云計算服務(wù)是否可能帶來國家安全風(fēng)險進行分析，影響或可能影響國家安全的應(yīng)進行網(wǎng)絡(luò)安全審查，本標(biāo)準(zhǔn)是落實上述規(guī)定的主要支撐標(biāo)準(zhǔn)，目前已經(jīng)在云計算服務(wù)安全評估中廣泛使用。2023年，GB/T31168-2023《信息安全技術(shù)云計算服務(wù)安全能力要求》標(biāo)準(zhǔn)發(fā)布，該標(biāo)準(zhǔn)修訂了2014版。本標(biāo)準(zhǔn)原來版本即GB/T34942-2017版為依據(jù)GB/T31168-2014版進行的評估，現(xiàn)根據(jù)GB/T31168-2023對GB/T34942-2017進行修訂。1.3起草過程標(biāo)準(zhǔn)制定的主要工作過程如下：1）立項申請2022年11月至2023年3月，標(biāo)準(zhǔn)編制團隊啟動標(biāo)準(zhǔn)修訂工作。編制組對國內(nèi)外云計算服務(wù)安全評估的相關(guān)政策、標(biāo)準(zhǔn)及目前存在的問題進行了研究。按照信安標(biāo)委2023年國家標(biāo)準(zhǔn)項目申報要求提交了2023年立項國家標(biāo)準(zhǔn)制定項目立項申請。2023年5月，標(biāo)準(zhǔn)編制組在信安標(biāo)委會議周上進行立項匯報并通過。會后，根據(jù)工作組成員單位專家意見組織編制組討論并繼續(xù)完善草案內(nèi)容。2）草案完善2023年8月，根據(jù)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2023年第一批網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)立項的通知》（信安字[2023]17號）發(fā)布的通知，本標(biāo)準(zhǔn)正式獲批為2023年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)修訂項目。2023年9月至10月，征集標(biāo)準(zhǔn)編制單位，共收集23家單位提交的申請材料并對申請的參編單位進行了遴選。同期征求相關(guān)專家意見，召開編制組工作會，對標(biāo)準(zhǔn)草案進行進一步修改完善。2023年11月，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會舉辦的武漢標(biāo)準(zhǔn)周上，標(biāo)準(zhǔn)編制組在大數(shù)據(jù)安全特別工作組進行了匯報，與會專家討論投票后，工作組形成轉(zhuǎn)征求意見稿的會議紀(jì)要。征求意見稿2023年11月，標(biāo)準(zhǔn)編制組根據(jù)標(biāo)準(zhǔn)周上與會專家意見修改完善，形成征求意見稿第一版。2023年12月，根據(jù)責(zé)任專家和責(zé)任編輯意見修改完善。2024年1月25日，標(biāo)準(zhǔn)編制組參加了信安標(biāo)委秘書處組織的征求意見稿專家審查會，并通過專家審查。會后，編制組根據(jù)與會專家意見對標(biāo)準(zhǔn)進行了修改完善。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1編制原則一是充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)。《評估方法》充分參考了國際、國內(nèi)有關(guān)云計算安全以及安全評估的先進標(biāo)準(zhǔn)和技術(shù)規(guī)范。目前，《評估方法》已將美國FedRAMP云安全測試用例、NIST800-53A、ISO/IEC27017、等級保護測評等相關(guān)標(biāo)準(zhǔn)的長處進行了吸收，充分考慮了相關(guān)的測試評估方法。二是重點關(guān)注安全評估方法，不涉及安全評價?！对u估方法》是在已發(fā)布國標(biāo)《信息安全技術(shù)云計算服務(wù)安全能力要求》基礎(chǔ)上制定的，而《能力要求》標(biāo)準(zhǔn)是我國云計算服務(wù)安全評估的重要依據(jù)，在實施過程中需要《評估方法》進行配合。對云計算服務(wù)安全能力的評價涉及到多種因素，情況比較復(fù)雜，本標(biāo)準(zhǔn)只關(guān)注安全評估方法，對于云計算服務(wù)安全能力的水平如何不做量化評價。2.2主要內(nèi)容及其確定依據(jù)本文件給出了依據(jù)GB/T31168－2023《信息安全技術(shù)云計算服務(wù)安全能力要求》，開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法。本文件適用于第三方評估機構(gòu)對云服務(wù)商提供云計算服務(wù)時具備的安全能力進行評估，云服務(wù)商在對自身云計算服務(wù)安全能力進行自評估時也可參考。標(biāo)準(zhǔn)主要內(nèi)容的確定既參考了國外相關(guān)標(biāo)準(zhǔn)和實踐，同時也主要由我國云計算服務(wù)安全評估工作的經(jīng)驗?zāi)鄱鴣怼?.3修訂前后技術(shù)內(nèi)容的對比本文件代替GB/T34942—2017《信息安全技術(shù)云計算服務(wù)安全能力評估方法》，與GB/T34942—2017相比，主要變化如下：——修改標(biāo)準(zhǔn)適用范圍，改為“適用于對黨政機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者使用的云計算服務(wù)進行安全管理，還適用于指導(dǎo)云服務(wù)商建設(shè)安全的云計算平臺和提供安全的云計算服務(wù)”?！黾拥?章，整體評估方法。——修改第6章到第16章，按照修訂的GB/T31168—2023要求給出具體評估方法?！黾痈戒汚，給出常見的云計算服務(wù)脆弱性問題。試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益3.1試驗驗證的分析、綜述報告本標(biāo)準(zhǔn)目前為征求意見稿階段，擬后續(xù)開展標(biāo)準(zhǔn)試點工作。3.2技術(shù)經(jīng)濟論證標(biāo)準(zhǔn)用于加強云計算服務(wù)的安全管理，以預(yù)防由于發(fā)生信息安全問題導(dǎo)致的各種損失。3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益標(biāo)準(zhǔn)可有利于云計算服務(wù)安全評估制度在我國國內(nèi)的進一步落地推廣，有利于提高各種類型組織的云計算服務(wù)安全能力。與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況國外無相關(guān)標(biāo)準(zhǔn)。以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因無。與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求，并與現(xiàn)有相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致。本標(biāo)準(zhǔn)主要為GB/T31168-2023《信息安全技術(shù)云計算服務(wù)安全能力要求》的配套標(biāo)準(zhǔn)。七、重大分歧意見的處理經(jīng)過和依據(jù)無。八、涉及專利的有關(guān)說明本標(biāo)準(zhǔn)不涉及專利。九、實施國家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的建議等措施建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。在正式執(zhí)行本標(biāo)準(zhǔn)前，需要對標(biāo)