信息安全技術(shù) 云計算服務(wù)運行監(jiān)管框架-編制說明

任務(wù)來源2016年6月，在云計算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《信息安全技術(shù)云計算服務(wù)運行監(jiān)管框架》。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，主辦單位為四川大學(xué)，參與起草的單位有中國電子技術(shù)標(biāo)準(zhǔn)化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、中國移動通信集團公司、國家信息安全工程技術(shù)研究中心、、阿里云計算有限公司、中國軟件評測中心、騰訊云計算（北京）有限責(zé)任公司、華為技術(shù)有限公司、中國信息安全測評中心、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、陜西省信息化工程研究院、廣州賽寶認證中心服務(wù)有限公司、等單位，歸口單位為全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信息安全標(biāo)委會，TC260）。編制背景美國在大力推廣云計算服務(wù)的過程中，于2011年12月引入了FedRAMP聯(lián)邦風(fēng)險及授權(quán)管理計劃，提供一個標(biāo)準(zhǔn)化的方法來對云計算產(chǎn)品和服務(wù)進行安全評估、授權(quán)與持續(xù)監(jiān)管。在2012年7月，F(xiàn)edRAMP發(fā)表了《持續(xù)監(jiān)管策略與指南》，這項指南要求云服務(wù)提供商必須持續(xù)監(jiān)控提供的云服務(wù)，檢測系統(tǒng)的安全控制措施、變更管理以及應(yīng)急響應(yīng)，保證基于風(fēng)險的策略能夠準(zhǔn)確地制定。同時，云安全聯(lián)盟CSA也提出了云計算服務(wù)第三方審計方面的初步框架。我國在2014年也發(fā)布了首批云計算服務(wù)安全方面的標(biāo)準(zhǔn)。雖然目前在云計算服務(wù)安全方面的標(biāo)準(zhǔn)研究受到廣泛重視，但在云計算服務(wù)持續(xù)監(jiān)管方面，國際和國內(nèi)都還缺乏相關(guān)方面的框架、角色、責(zé)任等的標(biāo)準(zhǔn)，CSA雖然提出了審計相關(guān)的框架，但沒有具有可操作性的標(biāo)準(zhǔn)或規(guī)范推出。我國在持續(xù)監(jiān)管的規(guī)范及標(biāo)準(zhǔn)方面的研究也還是空白。我國在2014年9月3日發(fā)布了《云計算服務(wù)安全指南》和《云計算服務(wù)安全能力要求》兩項標(biāo)準(zhǔn)，并在2015年4月1日正式實施。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處在中央網(wǎng)信辦指導(dǎo)下，組織開展了云計算服務(wù)安全審查標(biāo)準(zhǔn)應(yīng)用試點工作，對國內(nèi)的華為、曙光、浪潮和阿里云等多家云服務(wù)提供商開展了網(wǎng)絡(luò)安全審查?！对朴嬎惴?wù)安全指南》和《云計算服務(wù)安全能力要求》兩項標(biāo)準(zhǔn)規(guī)范了采購云服務(wù)的安全管理及能力要求，對政府部門采用云計算服務(wù)提出了安全的技術(shù)和管理要求，要求政府部門的用戶必須采用通過安全審查的云計算服務(wù)?！对朴嬎惴?wù)安全指南》和《云計算服務(wù)安全能力要求》兩項標(biāo)準(zhǔn)促進了云計算在政府部門的安全應(yīng)用。三、編制原則調(diào)研國內(nèi)外已有云計算服務(wù)的實現(xiàn)技術(shù)、架構(gòu)和運行機制；調(diào)研國內(nèi)外與云計算服務(wù)持續(xù)監(jiān)管相關(guān)的標(biāo)準(zhǔn)、規(guī)范、技術(shù)等現(xiàn)狀；結(jié)合我國國情，分析云計算服務(wù)持續(xù)監(jiān)管中可能涉及的角色及在持續(xù)監(jiān)管中監(jiān)管職責(zé)的界定；舉辦國內(nèi)學(xué)術(shù)交流會，與相關(guān)企事業(yè)單位、政府機構(gòu)的信息安全專家開展技術(shù)交流。本項目將從云計算服務(wù)持續(xù)監(jiān)管框架進行持續(xù)監(jiān)管標(biāo)準(zhǔn)體系的研究，主要包括以下內(nèi)容：云計算服務(wù)持續(xù)監(jiān)管相關(guān)術(shù)語的定義和縮略語；云計算服務(wù)持續(xù)監(jiān)管的框架，其中包括持續(xù)監(jiān)管的角色、目的、內(nèi)容、活動及責(zé)任；云計算服務(wù)持續(xù)監(jiān)管的過程，其中包括安全控制監(jiān)管、變更管理監(jiān)管及應(yīng)急響應(yīng)監(jiān)管；云計算服務(wù)持續(xù)監(jiān)管的實現(xiàn)機制，其中主要介紹自動化機制；四、工作過程簡要說明1、2016年6月，在云計算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《云計算服務(wù)運行監(jiān)管框架及技術(shù)規(guī)范》，對國內(nèi)外云計算服務(wù)持續(xù)監(jiān)管方法、應(yīng)用、政策和標(biāo)準(zhǔn)進行調(diào)研分析，確定云計算服務(wù)持續(xù)監(jiān)管標(biāo)準(zhǔn)化需求。2、2016年7月初，成立正式的云計算服務(wù)持續(xù)監(jiān)管標(biāo)準(zhǔn)編制組，由四川大學(xué)牽頭，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴集團、中國移動、國家信息安全工程中心、華為、阿里云、中國軟件評測中心、長城網(wǎng)際、中國信息安全測評中心、等單位組成標(biāo)準(zhǔn)編制組。3、2016年8月15日，在成都星辰航都國際酒店明志廳召開第一次標(biāo)準(zhǔn)編制組工作會議，對標(biāo)準(zhǔn)編制背景、標(biāo)準(zhǔn)化內(nèi)容等進行了深入討論，確定了標(biāo)準(zhǔn)編制工作機制，確定了標(biāo)準(zhǔn)編制提綱。3、2016年9月20日，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了國家標(biāo)準(zhǔn)《信息安全技術(shù)云計算服務(wù)持續(xù)監(jiān)管框架及技術(shù)規(guī)范》初步草案。4.2016年10月18日，四川大學(xué)代表編制組在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年第二次工作組“會議周進行工作匯報，工作組成員單位對標(biāo)準(zhǔn)工作提出了建議和意見。5．2016年10月20日，對標(biāo)準(zhǔn)存在的問題和意見進行了修改，并對后面需要編制的內(nèi)容進行了安排。6.2016年11月15日，對標(biāo)準(zhǔn)內(nèi)容進行了修改和完善，形成了標(biāo)準(zhǔn)草案。7.2016年12月27日，編制組在北京集中對標(biāo)準(zhǔn)第五章、第六章和第七章進行了討論，基本形成了一致的修改意見。8.2017年3月18日，信安標(biāo)委在北京組織了對立項標(biāo)準(zhǔn)的評審會，會上針對當(dāng)前標(biāo)準(zhǔn)的內(nèi)容提出了修改意見及建議。9.2017年3月25，編制組在北京應(yīng)物會議中心組織了組內(nèi)專家評審會，對新修改的標(biāo)準(zhǔn)內(nèi)容進行的評審，對標(biāo)準(zhǔn)題目的修改達成了一致意見，各位專家對標(biāo)準(zhǔn)的組織結(jié)構(gòu)、內(nèi)容細節(jié)提出了修改建議。10.2017年4月11日，信安標(biāo)委在武漢東西湖會議中心舉行了年度第一次標(biāo)準(zhǔn)工作周，會上各位專家對最新的標(biāo)準(zhǔn)草案內(nèi)容發(fā)表了意見，并提出了寶貴的修改意見及建議。11.2017年4月26日，在北京網(wǎng)信辦會議室舉行了專家評審會，對草案內(nèi)容提出了各自的見解，并提出了合理的意見和建議。五、標(biāo)準(zhǔn)結(jié)構(gòu)和內(nèi)容說明本標(biāo)準(zhǔn)主要內(nèi)容分為7個章節(jié)，分別針對云計算服務(wù)持續(xù)監(jiān)管的框架、過程以及實現(xiàn)機制進行了詳細的說明。本標(biāo)準(zhǔn)明確規(guī)范了政府部門云服務(wù)客戶在使用云計算服務(wù)的過程中，云服務(wù)商、持續(xù)監(jiān)管方的相關(guān)責(zé)任及監(jiān)管內(nèi)容，提出了持續(xù)監(jiān)管框架、過程及方式。同時，本標(biāo)準(zhǔn)為云服務(wù)商制定和實施云計算服務(wù)持續(xù)監(jiān)管策略和計劃提供指導(dǎo)，也為持續(xù)監(jiān)管方進行持續(xù)監(jiān)管活動提供指導(dǎo)。本標(biāo)準(zhǔn)主要結(jié)構(gòu)如下：前言 2引言 3信息安全技術(shù)云計算服務(wù)持續(xù)監(jiān)管框架 41范圍 42規(guī)范性引用文件 43術(shù)語和定義 44縮略語 55云計算服務(wù)持續(xù)監(jiān)管框架 55.1概述 55.2持續(xù)監(jiān)管框架 56云計算服務(wù)持續(xù)監(jiān)管過程 76.1概述 76.2安全控制監(jiān)管 76.3變更管理監(jiān)管 96.4應(yīng)急響應(yīng)監(jiān)管 107云計算服務(wù)持續(xù)監(jiān)管的實現(xiàn)機制 117.1概述 117.2自動機制 11參考文獻 13六、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)以GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》標(biāo)準(zhǔn)為依據(jù)、以GB/T31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》標(biāo)準(zhǔn)為要求，GB/T31167-2014面向黨政部門，提出了使用云計算服務(wù)時的安全管理要求，GB/T31168-2014面向云服務(wù)商，提出了云服務(wù)商在為黨政部門提供云計算服務(wù)時應(yīng)該具備的安全能力要求。重大分歧意見的處理經(jīng)過和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標(biāo)準(zhǔn)針對云服務(wù)客戶云服務(wù)商提供的云計算服務(wù)采用云計算服務(wù)的的持續(xù)監(jiān)管環(huán)節(jié)，闡述了云計算服務(wù)持續(xù)監(jiān)管的主要角色和職責(zé)、持續(xù)監(jiān)管的目的和內(nèi)容、持續(xù)監(jiān)管框架、過程以及方式等內(nèi)容，用于指導(dǎo)持續(xù)監(jiān)管活動中的云服務(wù)客戶、云服務(wù)商和第三方監(jiān)管機構(gòu)的監(jiān)管活動，以保障云計算服務(wù)安全能力持續(xù)達到云計算客戶的安全需求。本標(biāo)準(zhǔn)適用于政府部門采用云計算服務(wù)的持續(xù)監(jiān)管活動，也可供重點行業(yè)和其他企事業(yè)單位使用云計算服務(wù)時參考。其他事項說明本標(biāo)準(zhǔn)不涉及專利。國家標(biāo)準(zhǔn)《信息安全技