信息安全技術 云計算服務運行監(jiān)管框架-編制說明

任務來源2016年6月，在云計算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《信息安全技術云計算服務運行監(jiān)管框架》。本標準為自主制定標準，主辦單位為四川大學，參與起草的單位有中國電子技術標準化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴（北京）軟件服務有限公司、中國移動通信集團公司、國家信息安全工程技術研究中心、、阿里云計算有限公司、中國軟件評測中心、騰訊云計算（北京）有限責任公司、華為技術有限公司、中國信息安全測評中心、中國電子科技網絡信息安全有限公司、中電長城網際系統(tǒng)應用有限公司、陜西省信息化工程研究院、廣州賽寶認證中心服務有限公司、等單位，歸口單位為全國信息安全標準化技術委員會（簡稱信息安全標委會，TC260）。編制背景美國在大力推廣云計算服務的過程中，于2011年12月引入了FedRAMP聯(lián)邦風險及授權管理計劃，提供一個標準化的方法來對云計算產品和服務進行安全評估、授權與持續(xù)監(jiān)管。在2012年7月，F(xiàn)edRAMP發(fā)表了《持續(xù)監(jiān)管策略與指南》，這項指南要求云服務提供商必須持續(xù)監(jiān)控提供的云服務，檢測系統(tǒng)的安全控制措施、變更管理以及應急響應，保證基于風險的策略能夠準確地制定。同時，云安全聯(lián)盟CSA也提出了云計算服務第三方審計方面的初步框架。我國在2014年也發(fā)布了首批云計算服務安全方面的標準。雖然目前在云計算服務安全方面的標準研究受到廣泛重視，但在云計算服務持續(xù)監(jiān)管方面，國際和國內都還缺乏相關方面的框架、角色、責任等的標準，CSA雖然提出了審計相關的框架，但沒有具有可操作性的標準或規(guī)范推出。我國在持續(xù)監(jiān)管的規(guī)范及標準方面的研究也還是空白。我國在2014年9月3日發(fā)布了《云計算服務安全指南》和《云計算服務安全能力要求》兩項標準，并在2015年4月1日正式實施。全國信息安全標準化技術委員會秘書處在中央網信辦指導下，組織開展了云計算服務安全審查標準應用試點工作，對國內的華為、曙光、浪潮和阿里云等多家云服務提供商開展了網絡安全審查。《云計算服務安全指南》和《云計算服務安全能力要求》兩項標準規(guī)范了采購云服務的安全管理及能力要求，對政府部門采用云計算服務提出了安全的技術和管理要求，要求政府部門的用戶必須采用通過安全審查的云計算服務?！对朴嬎惴瞻踩改稀泛汀对朴嬎惴瞻踩芰σ蟆穬身棙藴蚀龠M了云計算在政府部門的安全應用。三、編制原則調研國內外已有云計算服務的實現(xiàn)技術、架構和運行機制；調研國內外與云計算服務持續(xù)監(jiān)管相關的標準、規(guī)范、技術等現(xiàn)狀；結合我國國情，分析云計算服務持續(xù)監(jiān)管中可能涉及的角色及在持續(xù)監(jiān)管中監(jiān)管職責的界定；舉辦國內學術交流會，與相關企事業(yè)單位、政府機構的信息安全專家開展技術交流。本項目將從云計算服務持續(xù)監(jiān)管框架進行持續(xù)監(jiān)管標準體系的研究，主要包括以下內容：云計算服務持續(xù)監(jiān)管相關術語的定義和縮略語；云計算服務持續(xù)監(jiān)管的框架，其中包括持續(xù)監(jiān)管的角色、目的、內容、活動及責任；云計算服務持續(xù)監(jiān)管的過程，其中包括安全控制監(jiān)管、變更管理監(jiān)管及應急響應監(jiān)管；云計算服務持續(xù)監(jiān)管的實現(xiàn)機制，其中主要介紹自動化機制；四、工作過程簡要說明1、2016年6月，在云計算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《云計算服務運行監(jiān)管框架及技術規(guī)范》，對國內外云計算服務持續(xù)監(jiān)管方法、應用、政策和標準進行調研分析，確定云計算服務持續(xù)監(jiān)管標準化需求。2、2016年7月初，成立正式的云計算服務持續(xù)監(jiān)管標準編制組，由四川大學牽頭，中國電子技術標準化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴集團、中國移動、國家信息安全工程中心、華為、阿里云、中國軟件評測中心、長城網際、中國信息安全測評中心、等單位組成標準編制組。3、2016年8月15日，在成都星辰航都國際酒店明志廳召開第一次標準編制組工作會議，對標準編制背景、標準化內容等進行了深入討論，確定了標準編制工作機制，確定了標準編制提綱。3、2016年9月20日，標準編制組按照參與單位提供的資料匯總形成了國家標準《信息安全技術云計算服務持續(xù)監(jiān)管框架及技術規(guī)范》初步草案。4.2016年10月18日，四川大學代表編制組在全國信息安全標準化技術委員會2016年第二次工作組“會議周進行工作匯報，工作組成員單位對標準工作提出了建議和意見。5．2016年10月20日，對標準存在的問題和意見進行了修改，并對后面需要編制的內容進行了安排。6.2016年11月15日，對標準內容進行了修改和完善，形成了標準草案。7.2016年12月27日，編制組在北京集中對標準第五章、第六章和第七章進行了討論，基本形成了一致的修改意見。8.2017年3月18日，信安標委在北京組織了對立項標準的評審會，會上針對當前標準的內容提出了修改意見及建議。9.2017年3月25，編制組在北京應物會議中心組織了組內專家評審會，對新修改的標準內容進行的評審，對標準題目的修改達成了一致意見，各位專家對標準的組織結構、內容細節(jié)提出了修改建議。10.2017年4月11日，信安標委在武漢東西湖會議中心舉行了年度第一次標準工作周，會上各位專家對最新的標準草案內容發(fā)表了意見，并提出了寶貴的修改意見及建議。11.2017年4月26日，在北京網信辦會議室舉行了專家評審會，對草案內容提出了各自的見解，并提出了合理的意見和建議。五、標準結構和內容說明本標準主要內容分為7個章節(jié)，分別針對云計算服務持續(xù)監(jiān)管的框架、過程以及實現(xiàn)機制進行了詳細的說明。本標準明確規(guī)范了政府部門云服務客戶在使用云計算服務的過程中，云服務商、持續(xù)監(jiān)管方的相關責任及監(jiān)管內容，提出了持續(xù)監(jiān)管框架、過程及方式。同時，本標準為云服務商制定和實施云計算服務持續(xù)監(jiān)管策略和計劃提供指導，也為持續(xù)監(jiān)管方進行持續(xù)監(jiān)管活動提供指導。本標準主要結構如下：前言 2引言 3信息安全技術云計算服務持續(xù)監(jiān)管框架 41范圍 42規(guī)范性引用文件 43術語和定義 44縮略語 55云計算服務持續(xù)監(jiān)管框架 55.1概述 55.2持續(xù)監(jiān)管框架 56云計算服務持續(xù)監(jiān)管過程 76.1概述 76.2安全控制監(jiān)管 76.3變更管理監(jiān)管 96.4應急響應監(jiān)管 107云計算服務持續(xù)監(jiān)管的實現(xiàn)機制 117.1概述 117.2自動機制 11參考文獻 13六、與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系本標準以GB/T31167-2014《信息安全技術云計算服務安全指南》標準為依據(jù)、以GB/T31168-2014《信息安全技術云計算服務安全能力要求》標準為要求，GB/T31167-2014面向黨政部門，提出了使用云計算服務時的安全管理要求，GB/T31168-2014面向云服務商，提出了云服務商在為黨政部門提供云計算服務時應該具備的安全能力要求。重大分歧意見的處理經過和依據(jù)詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內容）本標準針對云服務客戶云服務商提供的云計算服務采用云計算服務的的持續(xù)監(jiān)管環(huán)節(jié)，闡述了云計算服務持續(xù)監(jiān)管的主要角色和職責、持續(xù)監(jiān)管的目的和內容、持續(xù)監(jiān)管框架、過程以及方式等內容，用于指導持續(xù)監(jiān)管活動中的云服務客戶、云服務商和第三方監(jiān)管機構的監(jiān)管活動，以保障云計算服務安全能力持續(xù)達到云計算客戶的安全需求。本標準適用于政府部門采用云計算服務的持續(xù)監(jiān)管活動，也可供重點行業(yè)和其他企事業(yè)單位使用云計算服務時參考。其他事項說明本標準不涉及專利。國家標準《信息安全技