國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》編制說明

PAGE工作簡況任務(wù)來源為支撐我國黨政部門云計(jì)算服務(wù)安全管理工作，加快建立國家網(wǎng)絡(luò)安全審查制度，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2014年立項(xiàng)《信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法》國家標(biāo)準(zhǔn)，2014年12月，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局下達(dá)《<云計(jì)算服務(wù)安全能力評(píng)估方法>國家標(biāo)準(zhǔn)制定》委托任務(wù)書，委托中國電子技術(shù)標(biāo)準(zhǔn)化研究院開展該標(biāo)準(zhǔn)的研制工作，并將本項(xiàng)目標(biāo)識(shí)為重點(diǎn)標(biāo)準(zhǔn)?！缎畔踩夹g(shù)云計(jì)算服務(wù)安全能力評(píng)估方法》（計(jì)劃編號(hào)：20151587-T-469）由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，國家信息技術(shù)安全研究中心、中國信息安全測評(píng)中心、中國信息安全研究院有限公司、中國電子科技集團(tuán)第30研究所、中國信息安全認(rèn)證中心、上海信息安全測評(píng)認(rèn)證中心、國家信息中心、浪潮（北京）電子信息有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中標(biāo)軟件有限公司、華為技術(shù)有限公司、西安未來國際有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、北京軟件產(chǎn)品質(zhì)量檢測檢驗(yàn)中心、重慶郵電大學(xué)、深圳賽西信息技術(shù)有限公司、成都大學(xué)、北京工業(yè)大學(xué)、北京郵電大學(xué)、西安電子科技大學(xué)、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、桂林電子科技大學(xué)等單位共同參與起草。主要工作過程1.2.1標(biāo)準(zhǔn)立項(xiàng)前工作概述2013年12月至2014年3月，《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》標(biāo)準(zhǔn)形成報(bào)批稿，為完善云計(jì)算安全標(biāo)準(zhǔn)體系，支撐黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理，牽頭單位組成標(biāo)準(zhǔn)工作組，研究云計(jì)算服務(wù)安全能力評(píng)估方法，形成《云計(jì)算服務(wù)安全能力測試規(guī)范》初稿。2014年4月至2014年12月，為配合全國信安標(biāo)委秘書處開展的黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理國家標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作，中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，參與標(biāo)準(zhǔn)試點(diǎn)的第三方機(jī)構(gòu)共同在前期《云計(jì)算服務(wù)安全能力測評(píng)指南》的基礎(chǔ)上修改形成《云計(jì)算服務(wù)安全審查測評(píng)規(guī)程》，并在標(biāo)準(zhǔn)試點(diǎn)中進(jìn)行試用，指導(dǎo)第三方測評(píng)機(jī)構(gòu)對云服務(wù)商的測評(píng)工作。1.2.2標(biāo)準(zhǔn)立項(xiàng)后工作情況1）標(biāo)準(zhǔn)立項(xiàng)2014年12月，本標(biāo)準(zhǔn)獲全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)國標(biāo)立項(xiàng)。2）成立標(biāo)準(zhǔn)編制組，廣泛調(diào)研2015年1月至2015年2月，標(biāo)準(zhǔn)編制組成立，廣泛調(diào)研和研究國內(nèi)外云計(jì)算安全相關(guān)評(píng)估標(biāo)準(zhǔn)以及相關(guān)安全評(píng)估標(biāo)準(zhǔn)，為本標(biāo)準(zhǔn)的編制奠定基礎(chǔ)。期間，研究的云計(jì)算安全相關(guān)標(biāo)準(zhǔn)和安全評(píng)估相關(guān)標(biāo)準(zhǔn)包括：（1）美國聯(lián)邦系統(tǒng)安全控制的建議（NIST800-53）；（2）美國聯(lián)邦系統(tǒng)安全控制措施評(píng)估指南（NISTSP800-53A）；（3）NISTSP800-53A測試用例；（4）美國聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目（FedRAMP）測試用例；（5）信息安全等級(jí)保護(hù)測評(píng)國家標(biāo)準(zhǔn)；（6）《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》、《信息安全技術(shù)信息安全服務(wù)能力評(píng)估準(zhǔn)則》等國家標(biāo)準(zhǔn)。3）標(biāo)準(zhǔn)編制組形成標(biāo)準(zhǔn)草案2015年3月至2015年5月，標(biāo)準(zhǔn)編制組3月在北京召開標(biāo)準(zhǔn)啟動(dòng)會(huì)，討論了標(biāo)準(zhǔn)編制的思路，以及本次國家標(biāo)準(zhǔn)與全國信安標(biāo)委秘書處組織的標(biāo)準(zhǔn)試點(diǎn)中試用的云計(jì)算服務(wù)安全審查測評(píng)規(guī)程的關(guān)系。5月，標(biāo)準(zhǔn)編制組形成標(biāo)準(zhǔn)草案，發(fā)標(biāo)準(zhǔn)編制組內(nèi)部征求意見。期間，標(biāo)準(zhǔn)編制組部分起草單位參與中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局和國家網(wǎng)絡(luò)安全審查辦公室組織的云計(jì)算服務(wù)安全能力評(píng)價(jià)方法等相關(guān)文件的編制。6月，標(biāo)準(zhǔn)編制組召開工作會(huì)議，處理編制組對草案的反饋意見，并接受全國信安標(biāo)委秘書處中期檢查，聽取專家對該項(xiàng)目的意見。7月，標(biāo)準(zhǔn)編制組集中封閉3天，根據(jù)專家的意見修改了標(biāo)準(zhǔn)草案。7月30日，秘書處在北京召開了標(biāo)準(zhǔn)評(píng)審會(huì)，編制組根據(jù)與會(huì)專家的意見進(jìn)一步完善了標(biāo)準(zhǔn)草案。4）標(biāo)準(zhǔn)在云服務(wù)網(wǎng)絡(luò)安全審查中試用2015年8月至2015年9月，國家信息技術(shù)安全研究中心、中國信息安全測評(píng)中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院賽西實(shí)驗(yàn)室分別對成都曙光云計(jì)算中心、華為襄陽政務(wù)云云服務(wù)和阿里云電子政務(wù)云服務(wù)進(jìn)行了云服務(wù)網(wǎng)絡(luò)安全審查，在審查過程中對標(biāo)準(zhǔn)草案進(jìn)行了試用，并提出了修改意見，標(biāo)準(zhǔn)編制組根據(jù)試用意見進(jìn)行了修改完善，征求并處理了國家網(wǎng)絡(luò)安全審查辦公室對修改后標(biāo)準(zhǔn)草案的意見。5）2015年11月，召開專家評(píng)審會(huì)，會(huì)后形成征求意見稿2015年11月24日，全國信安標(biāo)委秘書處在北京組織召開了專家評(píng)審會(huì)，與會(huì)專家針對標(biāo)準(zhǔn)的定位、標(biāo)準(zhǔn)中的測試項(xiàng)以及對服務(wù)安全能力的評(píng)價(jià)提出了意見，標(biāo)準(zhǔn)編制組按照與會(huì)專家意見進(jìn)行了修改，形成征求意見稿。6）2016年6月，調(diào)整到大數(shù)據(jù)安全特別工作組，并組內(nèi)征求意見2016年4月，全國信安標(biāo)委大數(shù)據(jù)安全特別工作組成立，該標(biāo)準(zhǔn)調(diào)整到大數(shù)據(jù)安全特別工作組，并在組內(nèi)征求意見。標(biāo)準(zhǔn)編制組根據(jù)反饋意見對征求意見稿進(jìn)行了修改完善，并在第一次會(huì)議周進(jìn)行了討論。編制原則和主要內(nèi)容編制原則一是充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)?！对u(píng)估方法》充分參考了國際、國內(nèi)有關(guān)云計(jì)算安全以及安全評(píng)估的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范。目前，《評(píng)估方法》已將美國FedrRAMP云安全測試用例、NIST800-53A、ISO/IEC27017、等級(jí)保護(hù)測評(píng)等相關(guān)標(biāo)準(zhǔn)的長處進(jìn)行了吸收，充分考慮了相關(guān)的測試評(píng)估方法。二是重點(diǎn)關(guān)注安全評(píng)估方法，不涉及安全評(píng)價(jià)?！对u(píng)估方法》是在已發(fā)布國標(biāo)《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》基礎(chǔ)上制定的，而《能力要求》標(biāo)準(zhǔn)是我國加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的重要依據(jù)，在實(shí)施過程中需要《評(píng)估方法》進(jìn)行配合。對云計(jì)算服務(wù)安全能力的評(píng)價(jià)涉及到多種因素，情況比較復(fù)雜，本標(biāo)準(zhǔn)只關(guān)注安全評(píng)估方法，對于云計(jì)算服務(wù)安全能力的水平如何不做評(píng)價(jià)。主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了對以社會(huì)化方式為特定客戶提供云計(jì)算服務(wù)的云服務(wù)商安全能力進(jìn)行評(píng)估的方法。本標(biāo)準(zhǔn)適用于第三方評(píng)估機(jī)構(gòu)對云服務(wù)安全能力進(jìn)行評(píng)估，也可指導(dǎo)云服務(wù)商建設(shè)安全的云計(jì)算平臺(tái)和提供安全的云計(jì)算服務(wù)。本標(biāo)準(zhǔn)主要根據(jù)《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》制定相關(guān)評(píng)估方法，為第三方測評(píng)機(jī)構(gòu)開展云計(jì)算服務(wù)安全能力評(píng)估提供指導(dǎo)，標(biāo)準(zhǔn)規(guī)定第三方測評(píng)機(jī)構(gòu)可采用訪談、檢查、測試等多種方式，制定相應(yīng)安全評(píng)估方案，實(shí)施安全評(píng)估，標(biāo)準(zhǔn)從系統(tǒng)開發(fā)和供應(yīng)鏈安全、系統(tǒng)與通信保護(hù)、訪問控制、配置管理、維護(hù)、應(yīng)急響應(yīng)和災(zāi)備、審計(jì)、風(fēng)險(xiǎn)評(píng)估和持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面對原標(biāo)準(zhǔn)的各個(gè)條款提出評(píng)估方法。主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果編制組已請中國信息安全測評(píng)中心、國家信息技術(shù)安全研究中心、中國賽西實(shí)驗(yàn)室等第三方測評(píng)機(jī)構(gòu)對《評(píng)估方法》進(jìn)行了試用。第三方測評(píng)機(jī)構(gòu)根據(jù)標(biāo)準(zhǔn)草案要求，在成都、襄陽、北京等地為政府部門提供云服務(wù)部署的多個(gè)云計(jì)算中心進(jìn)行了標(biāo)準(zhǔn)的試用，按照要求開展了安全評(píng)估，標(biāo)準(zhǔn)試用效果良好。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況信息安全標(biāo)準(zhǔn)已經(jīng)成為網(wǎng)絡(luò)空間國際競爭的戰(zhàn)略制高點(diǎn)。特別是，云計(jì)算安全標(biāo)準(zhǔn)及其背后的管理政策將會(huì)對產(chǎn)業(yè)造成重大影響，也將限制國外大型云計(jì)算服務(wù)提供商滲透到我國敏感部門和重要行業(yè)，這種情況下，我國提出了加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理是保障國家安全和社會(huì)公眾利益的重要舉措。開展對云服務(wù)商所提供的云服務(wù)安全能力的評(píng)估，是落實(shí)對云計(jì)算服務(wù)安全管理的措施之一。因此，編制組在標(biāo)準(zhǔn)編制過程中，專門分析了美國FedRAMP對云服務(wù)商的安全評(píng)估方法和NISTSP800-53A中的測試用例，參考我國已有相關(guān)信息安全標(biāo)準(zhǔn)，以及我國云計(jì)算服務(wù)安全管理的考慮，綜合考慮制定了本標(biāo)準(zhǔn)。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系《評(píng)估方法》符合現(xiàn)有法律法規(guī)的要求。符合《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《國務(wù)院關(guān)于大力促進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》等國家政策、法規(guī)、標(biāo)準(zhǔn)的要求?，F(xiàn)行發(fā)布兩項(xiàng)云計(jì)算安全國家標(biāo)準(zhǔn)GB/T31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和GB/T31168-2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》。《評(píng)估方法》符合GB/T31167國家標(biāo)準(zhǔn)的相關(guān)要求，是基于GB/T31168制定的配套評(píng)估標(biāo)準(zhǔn)。重大分歧意見的處理經(jīng)過和依據(jù)《評(píng)估方法》編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議《評(píng)估方法》作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）《評(píng)估方法》通過指導(dǎo)第三方機(jī)構(gòu)對云服務(wù)商的云計(jì)算服務(wù)安全能力進(jìn)行安全評(píng)估，為國家標(biāo)準(zhǔn)對云服務(wù)商提出具體的安全能力要求，為國家標(biāo)準(zhǔn)GB/T31168-2014《信息安全