GB/T 38249-2019信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T38249—2019

信息安全技術(shù)

政府網(wǎng)站云計(jì)算服務(wù)安全指南

Informationsecuritytechnology—

Securityguideofcloudcomputingservicesforgovernmentwebsite

2019-10-18發(fā)布2020-05-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T38249—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

安全角色

4.1……………1

云計(jì)算服務(wù)生命周期

4.2………………2

規(guī)劃準(zhǔn)備

5…………………2

概述

5.1…………………2

安全職責(zé)

5.2……………3

需求分析

5.3……………3

服務(wù)商選擇

5.4…………………………5

合同簽訂

5.5……………5

云遷移方案

5.6…………………………6

部署遷移

6…………………6

概述

6.1…………………6

安全職責(zé)

6.2……………6

云遷移實(shí)施

6.3…………………………7

云遷移交付

6.4…………………………8

運(yùn)行管理

7…………………9

概述

7.1…………………9

安全職責(zé)

7.2……………9

安全防范

7.3……………10

安全監(jiān)測

7.4……………10

應(yīng)急響應(yīng)

7.5……………10

評估改進(jìn)

7.6……………11

服務(wù)退出

8…………………11

概述

8.1…………………11

安全職責(zé)

8.2……………11

服務(wù)退出安全

8.3………………………12

參考文獻(xiàn)

……………………13

Ⅰ

GB/T38249—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位西安未來國際信息股份有限公司阿里云計(jì)算有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研

:、、

究院四川大學(xué)北京信息安全測評中心國家信息技術(shù)安全研究中心華為技術(shù)有限公司杭州安恒信

、、、、、

息技術(shù)有限公司北京安信天行科技有限公司北京京東尚科信息技術(shù)有限公司深信服科技股份有限

、、、

公司北京時代遠(yuǎn)景信息技術(shù)研究院中國電信集團(tuán)有限公司首都之窗烽火科技集團(tuán)有限公司杭州

、、、、、

迪普科技股份有限公司廣州賽寶認(rèn)證中心服務(wù)有限公司西北大學(xué)

、、。

本標(biāo)準(zhǔn)主要起草人劉賢剛陳興蜀葉潤國王茜史晨昱劉俊河白峰張磊張輝石慧沈錫鏞

:、、、、、、、、、、、

陳雪秀趙章界耿濤周俊鐘金鑫李媛何明劉國偉江舟孫騫路琨張?jiān)峦鯘钊饾S少青

、、、、、、、、、、、、、、、

許玉娜龐思銘齊蕙杰賈思琦周立勇商濤趙少敏

、、、、、、。

Ⅲ

GB/T38249—2019

引言

在大力推動政府網(wǎng)站選擇云服務(wù)的背景下云計(jì)算受到廣泛的關(guān)注在云計(jì)算服務(wù)模式下在大多

,。,

數(shù)傳統(tǒng)信息安全問題依然存在的同時還出現(xiàn)了一些新的安全風(fēng)險(xiǎn)

,。

提出了政府部門采用云計(jì)算服務(wù)的安全管理基本要求以及云計(jì)算服務(wù)生命周期各

GB/T31167,

階段的安全管理和技術(shù)要求

。

本標(biāo)準(zhǔn)則給出了政務(wù)網(wǎng)站采用云計(jì)算服務(wù)中各種參與角色的安全職責(zé)細(xì)化了云服務(wù)商和云服務(wù)

,

代理商的安全責(zé)任可用于指導(dǎo)采用云計(jì)算服務(wù)的政府機(jī)構(gòu)的網(wǎng)站安全保障建設(shè)

,。

Ⅳ

GB/T38249—2019

信息安全技術(shù)

政府網(wǎng)站云計(jì)算服務(wù)安全指南

范圍

1

本標(biāo)準(zhǔn)給出了政府網(wǎng)站采用云計(jì)算服務(wù)過程中在規(guī)劃準(zhǔn)備部署遷移運(yùn)行管理服務(wù)退出等階段

,、、、

的安全技術(shù)措施和安全管理措施

。

本標(biāo)準(zhǔn)適用于為采用云計(jì)算服務(wù)特別是社會化云計(jì)算服務(wù)的政務(wù)網(wǎng)站提供建設(shè)與運(yùn)營指導(dǎo)

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168

信息安全技術(shù)政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南

GB/T31506—2015

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

G