信息安全技術 云計算服務安全指南

1、信息安全技術云計算服務安全指南1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務的安全管理基本 要求及云計算服務的生命周期各階段的安全管理和技術要求。本標準為政府部門采用云計算服務，特別是采用社會化的云計算服務提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務，也可供重點行業(yè)和其他企事業(yè)單位參考。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T 250692010信息安全技術術語GB/T 311682014信息安全技術云計算服

2、務安全能力要求3術語和定義GB/T 250692010界定的以及下列術語和定義適用于本文件。3.1 云計算 cloud computing通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。3.2 云計算服務 cloud computing service使用定義的接口，借助云計算提供一種或多種資源的能力。3.3 云服務商 cloud service provider云計算服務的供應方。注：云服務商管理、運營、支撐云計算的基礎設施及軟件，通過網(wǎng)絡交付云計算的資源。3.4 云服務客戶 cloud ser

3、vice customer為使用云計算服務同云服務商建立業(yè)務關系的參與方。注：本標準中云服務客戶簡稱客戶。3.5 第三方評估機構 Third Party Assessment Organizations；3PAO獨立于云計算服務相關方的專業(yè)評估機構。3.6 云計算基礎設施 cloud computing infrastructure由硬件資源和資源抽象控制組件構成的支撐云計算的基礎設施。注：硬件資源包括所有的物理計算資源，包括服務器（CPU、內(nèi)存等）、存儲組件（硬盤等）、網(wǎng)絡組件（路由器、防火 墻、交換機、網(wǎng)絡鏈路和接口等)及其他物理計算基礎元素。資源抽象控制組件對物理計算資源進行軟件抽象，

4、云服務商通過這些組件提供和管理對物理計算資源的訪問。3.7 云計算平臺 cloud computing platform云服務商提供的云計算基礎設施及其上的服務軟件的集合。3.8 云計算環(huán)境 cloud computing environment云服務商提供的云計算平臺及客戶在云計算平臺之上部署的軟件及相關組件的集合。4 云計算概述4.1 云計算的主要特征云計算具有以下主要特征：a) 按需自助服務。在不需或較少云服務商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自助確定資源占用時間和數(shù)量。b) 泛在接入?？蛻敉ㄟ^標準接入機制，利用計算機、移動電話、平板等各種終端通過網(wǎng)絡隨時隨地使用服務

5、。c) 資源池化。云服務商將資源（如：計算資源、存儲資源、網(wǎng)路資源）能供給多個客戶使用，這些物理的、虛擬的資源根據(jù)客戶的需求進行動態(tài)分配或重新分配。d) 快速伸縮性?？蛻艨梢愿鶕?jù)需要快速、靈活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。e) 服務可計量。云計算按照多種計量方式（如按次付費或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網(wǎng)路帶寬或賬戶等。4.2 服務模式根據(jù)云服務商提供的資源類型不同，云計算的服務模式主要可分為三類：a) 軟件即服務（SaaS）：在SaaS模式下，云服務商向客戶提供的是運行在云基礎設施之上的應用

6、軟件?？蛻舨恍枰徺I、開發(fā)軟件，可利用不同設備上的客戶端（如WEB瀏覽器）或程序接口通過網(wǎng)絡訪問和使用云服務商提供的應用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等?？蛻敉ǔ２荒芄芾砘蚩刂浦螒密浖\行的低層資源，如網(wǎng)絡、服務器、操作系統(tǒng)、存儲等，但可對應用軟件進行有限的配置管理。b) 平臺即服務(PaaS):在PaaS模式下，云服務商向客戶提供的是運行在云計算基礎設施之上的 軟件開發(fā)和運行平臺，如:標準語言與工具、數(shù)據(jù)訪問、通用接口等。客戶可利用該平臺開發(fā)和 部署自己的軟件?？蛻敉ǔ２荒芄芾砘蚩刂浦纹脚_運行所需的低層資源，如網(wǎng)絡、服務器、 操作系統(tǒng)、存儲等，但可對應用的運行環(huán)境進行配置，控制自己

7、部署的應用。c) 基礎設施即服務(IaaS):在IaaS模式下，云服務商向客戶提供虛擬計算機、存儲、網(wǎng)絡等計算 資源，提供訪問云計算基礎設施的服務接口?？蛻艨稍谶@些資源上部署或運行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A設施，但能控制自己部署的操 作系統(tǒng)、存儲和應用，也能部分控制使用的網(wǎng)絡組件，如主機防火墻。4.3部署模式根據(jù)使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區(qū)云和混合云等四種部署模式：a)私有云：云計算平臺僅提供給某個特定的客戶使用。私有云的云計算基礎設施可由云服務商 擁有、管理和運營，這種私有云稱為場外私有云（或外包私有云）；也可由

8、客戶自己建設、管理和運營，這種私有云稱為場內(nèi)私有云（或自有私有云）。b)公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎設施由云服務商擁有、管理和運營。c)社區(qū)云：云計算平臺限定為特定的客戶群體使用，群體中的客戶具有共同的屬性(如職能、安全 需求、策略等）。社區(qū)云的云計算基礎設施可由云服務商擁有、管理和運營，這種社區(qū)云稱為場 外社區(qū)云；也可以由群體中的部分客戶自己建設、管理和運營，這種社區(qū)云稱為場內(nèi)社區(qū)云。d)混合云：上述兩種或兩種以上部署模式的組合稱為混合云。4.4云計算的優(yōu)勢在云計算模式下，客戶不需要投入大量資金去建設、運維和管理自己專有的數(shù)據(jù)中心等基礎設施，只需要為動態(tài)占用的資源

9、付費，即按需購買服務?？蛻舨捎迷朴嬎惴湛色@得如下益處：a)減少開銷和能耗。采用云計算服務可以將硬件和基礎設施建設資金投入轉變?yōu)榘葱柚Ц斗召M用，客戶只對使用的資源付費，無需承擔建設和維護基礎設施的費用，避免了自建數(shù)據(jù)中心 的資金投入。云服務商使用虛擬化、動態(tài)遷移和工作負載整合等技術提升運行資源的利用效 率，通過關閉空閑資源組件等降低能耗；多租戶共享機制、資源的集中共享可以滿足多個客戶 不同時間段對資源的峰值要求，避免按峰值需求設計容量和性能而造成的資源浪費。資源利 用效率的提高有效降低云計算服務的運營成本，減少能耗，實現(xiàn)綠色IT。b)增加業(yè)務的靈活性。客戶采用云計算服務不需要建設專門的信息系

10、統(tǒng)，縮短業(yè)務系統(tǒng)建設周期，使客戶能專注于業(yè)務的功能和創(chuàng)新，提升業(yè)務響應速度和服務質量，實現(xiàn)業(yè)務系統(tǒng)的快速部署。c)提高業(yè)務系統(tǒng)的可用性。云計算的資源池化和快速伸縮性特征，使部署在云計算平臺上的客戶業(yè)務系統(tǒng)可動態(tài)擴展，滿足業(yè)務需求資源的迅速擴充與釋放，能避免因需求突增而導致客戶業(yè)務系統(tǒng)的異?；蛑袛?。云計算的備份和多副本機制可提高業(yè)務系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務中斷。d)提升專業(yè)性。云服務商具有專業(yè)技術團隊，能夠及時更新或采用先進技術和設備，可以提供更 加專業(yè)的技術、管理和人員支撐，使客戶能獲得更加專業(yè)和先進的技術服務。5云計算的風險管理 5.1概述云計算作為一種新興的計算資源利用方式，還在不

11、斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算 環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風險。本章通過描述云計算帶來的信息安全風險，提出了客戶采用云計算服務應遵守的基本要求，從規(guī)劃準備、選擇云服務商及部署、運行監(jiān)管、退出服務等四個階段簡要描述了客戶采購和使用云計算服務的生命周期安全管理。5.2云計算安全風險5.2.1客戶對數(shù)據(jù)和業(yè)務系統(tǒng)的控制能力減弱傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務系統(tǒng)遷移到云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務的直接控制能 力。客戶數(shù)據(jù)以及在后續(xù)運行過程中生成、獲取的數(shù)據(jù)都處于云

12、服務商的直接控制下，云服務商具有訪問、利用或操控客戶數(shù)據(jù)的能力。將數(shù)據(jù)和業(yè)務系統(tǒng)遷移到云計算平臺后，安全性主要依賴于云服務商及其所采取的安全措施。云 服務商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權和商業(yè)秘密，客戶在缺乏必要的知情權的情況下，難以了解和掌握云服務商安全措施的實施情況和運行狀態(tài)，難以對這些安全措施進行有效監(jiān)督 和管理，不能有效監(jiān)管云服務商的內(nèi)部人員對客戶數(shù)據(jù)的非授權訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務的風險。5.2.2客戶與云服務商之間的責任難以界定傳統(tǒng)模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責任主

13、體不同，相互之間的責任如何界定，缺乏明確的規(guī) 定。不同的服務模式和部署模式、云計算環(huán)境的復雜性也增加了界定云服務商與客戶之間責任的難度。云服務商可能還會采購、使用其他云服務商的服務，如提供SaaS服務的云服務商可能將其服務建 立在其他云服務商的PaaS或IaaS之上，這種情況導致了責任更加難以界定。5.2.3可能產(chǎn)生司法管轄權問題在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心， 改變了數(shù)據(jù)和業(yè)務的司法管轄關系。注：一些國家的政府可能依據(jù)本國法律要求云服務商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務商提供 位于他國數(shù)據(jù)中心的數(shù)據(jù)。5.2.4數(shù)據(jù)所有權保障

14、面臨風險客戶將數(shù)據(jù)存放在云計算平臺上，沒有云服務商的配合很難獨自將數(shù)據(jù)安全遷出。在服務終止或發(fā)生糾紛時，云服務商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對數(shù)據(jù)的所有權和支配權。云服務商通過對客戶的資源消耗、通訊流量、繳費等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。5.2.5數(shù)據(jù)保護更加困難云計算平臺采用虛擬化等技術實現(xiàn)多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權數(shù)據(jù)訪問風險突出。云服務商可能會使用其他云服務商的服務，使用第三方的功能、性能組件，使云計算平臺結構復雜且動態(tài)變化。隨著復雜性的增加，云計算平臺實施有效的

15、數(shù)據(jù)保護措施更加困難，客戶數(shù)據(jù)被未授權訪問、篡改、泄露和丟失的風險增大。5.2.6數(shù)據(jù)殘留存儲客戶數(shù)據(jù)的存儲介質由云服務商擁有，客戶不能直接管理和控制存儲介質。當客戶退出云計算服務時，云服務商應該完全刪除客戶的數(shù)據(jù)，包括備份數(shù)據(jù)和運行過程中產(chǎn)生的客戶相關數(shù)據(jù)。目前，還缺乏有效的機制、標準或工具來驗證云服務商是否實施了完全刪除操作，客戶退出云計算服務后 其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。5.2.7容易產(chǎn)生對云服務商的過度依賴由于缺乏統(tǒng)一的標準和接口，不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。另外云服務商出于自身利益考慮，往往不愿意為客戶的

16、數(shù)據(jù)和業(yè)務 提供可遷移能力。這種對特定云服務商的潛在依賴可能導致客戶的業(yè)務隨云服務商的干擾或停止服務 而停止運轉，也可能導致數(shù)據(jù)和業(yè)務遷移到其他云服務商的代價過高。由于云計算服務市場還未成熟，供客戶選擇的候選云服務商有限，也可能導致客戶對云服務商的過度依賴。5.3云計算服務安全管理的主要角色及責任云計算服務安全管理的主要角色及責任如下：a)云服務商。為確保客戶數(shù)據(jù)和業(yè)務系統(tǒng)安全，云服務商應先通過安全審查，才能向客戶提供云 計算服務；積極配合客戶的運行監(jiān)管工作，對所提供的云計算服務進行運行監(jiān)視，確保持續(xù)滿足客戶安全需求；合同關系結束時應滿足客戶數(shù)據(jù)和業(yè)務的遷移需求，確保數(shù)據(jù)安全。b)客戶。從已通

17、過安全審查的云服務商中選擇適合的云服務商?？蛻粜璩袚渴鸹蜻w移到云計算平臺上的數(shù)據(jù)和業(yè)務的最終安全責任；客戶應開展云計算服務的運行監(jiān)管活動，根據(jù)相關規(guī)定開展信息安全檢査。c)第三方評估機構。對云服務商及其提供的云計算服務開展獨立的安全評估。5.4云計算服務安全管理基本要求采用云計算服務期間，客戶和云服務商應遵守以下要求：a)安全管理責任不變。信息安全管理責任不應隨服務外包而轉移，無論客戶數(shù)據(jù)和業(yè)務是位于 內(nèi)部信息系統(tǒng)還是云服務商的云計算平臺上，客戶都是信息安全的最終責任人。b)資源的所有權不變?？蛻籼峁┙o云服務商的數(shù)據(jù)、設備等資源，以及云計算平臺上客戶業(yè)務系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和

18、文檔等都應屬客戶所有，客戶對這些資源的訪問、利用、支配等權限不受限制。c)司法管轄關系不變。客戶數(shù)據(jù)和業(yè)務的司法管轄權不應因采用云計算服務而改變。除非中國 法律法規(guī)有明確規(guī)定，云服務商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關信息 提供給他國政府及組織。d)安全管理水平不變。承載客戶數(shù)據(jù)和業(yè)務的云計算平臺應按照政府信息系統(tǒng)安全管理要求進行管理，為客戶提供云計算服務的云服務商應遵守政府信息系統(tǒng)安全管理政策及標準。e)堅持先審后用原則。云服務商應具備保障客戶數(shù)據(jù)和業(yè)務系統(tǒng)安全的能力，并通過安全審查。客戶應選擇通過審查的云服務商，并監(jiān)督云服務商切實履行安全責任，落實安全管理和防護措施。5.5云

19、計算服務生命周期5.5.1概述圖 1 云計算服務的生命周期客戶采購和使用云計算服務的過程可分為四個階段:規(guī)劃準備、選擇服務商與部署、運行監(jiān)管、退出服務，如圖1所示。5.5.2規(guī)劃準備在規(guī)劃準備階段，客戶應分析采用云計算服務的效益，確定自身的數(shù)據(jù)和業(yè)務類型，判定是否適合采用云計算服務；根據(jù)數(shù)據(jù)和業(yè)務的類型確定云計算服務的安全能力要求；根據(jù)云計算服務的特點進行需求分析，形成決策報告。5.5.3選擇服務商與部署在選擇服務商與部署階段，客戶應根據(jù)安全需求和云計算服務的安全能力選擇云服務商，與云服務商協(xié)商合同(包括服務水平協(xié)議、安全需求、保密要求等內(nèi)容），完成數(shù)據(jù)和業(yè)務向云計算平臺的部署或遷移。5.5.

20、4運行監(jiān)管在運行監(jiān)管階段，客戶應指導監(jiān)督云服務商履行合同規(guī)定的責任義務，指導督促業(yè)務系統(tǒng)使用者遵守政府信息系統(tǒng)安全管理政策及標準，共同維護數(shù)據(jù)、業(yè)務及云計算環(huán)境的安全。5.5.5退出服務在退出云計算服務時，客戶應要求云服務商履行相關責任和義務，確保退出云計算服務階段數(shù)據(jù)和 業(yè)務安全，如安全返還客戶數(shù)據(jù)、徹底清除云計算平臺上的客戶數(shù)據(jù)等。需變更云服務商時，客戶應按要求選擇新的云服務商，重點關注云計算服務遷移過程的數(shù)據(jù)和業(yè)務 安全；也應要求原云服務商履行相關責任和義務。6規(guī)劃準備6.1概述5.2對云計算面臨的安全風險及新問題進行了闡述，云計算服務并非適合所有的客戶，更不是所有應用都適合部署到云計算

21、環(huán)境。是否采用云計算服務，特別是采用社會化的云計算服務，應該綜合平衡 采用云計算服務后獲得的效益、可能面臨的信息安全風險、可以采取的安全措施后做出決策。只有當安全風險在客戶可以承受、容忍的范圍內(nèi)，或安全風險引起的信息安全事件有適當?shù)目刂苹蜓a救措施時方 可采用云計算服務。6.2效益評估效益是采用云計算服務的最主要動因，只有在可能獲得明顯的經(jīng)濟和社會效益，或初期效益不一定十分明顯，但從發(fā)展的角度看潛在效益很大，并且信息安全風險可控時，才宜采用云計算服務。云計算服務的效益主要從以下幾個方面進行分析比較：a)建設成本。傳統(tǒng)的自建信息系統(tǒng)，需要建設運行環(huán)境、采購服務器等硬件設施、定制開發(fā)或采 購軟件等；

22、采用云計算服務，初期資金投入可能包括租用網(wǎng)絡帶寬、客戶采用的安全控制措施等。b)運維成本。傳統(tǒng)的自建信息系統(tǒng)，日常運行需要考慮設備運行能耗、設備維護、升級改造、增加硬件設備、擴建機房等成本；采用云計算服務，僅需為使用的服務和資源付費。c)人力成本。傳統(tǒng)的自建信息系統(tǒng)，需要維持相應數(shù)量的專業(yè)技術人員，包括信息中心等專業(yè)機構；采用云計算服務，僅需適當數(shù)量的專業(yè)技術和管理人員。d)性能和質量。云計算服務由具備相當專業(yè)技術水準的云服務商提供，云計算平臺具有冗余措施、先進的技術和管理、完整的解決方案等特點，應分析采用云計算服務后對業(yè)務的性能和質量帶來的優(yōu)勢。e)創(chuàng)新性。通過采用云計算服務，客戶可以將更多

23、的精力放在如何提升核心業(yè)務能力、創(chuàng)新公眾 服務上，而不是業(yè)務的技術實現(xiàn)和實施；可以快速部署滿足新需求的業(yè)務，并按需隨時調(diào)整。6.3政府信息分類6.3.1信息分類原則客戶將信息部署或遷移到云計算平臺之前，應先明確信息的類型。本標準中的政府信息是指政府機關，包括受政府委托代行政府機關職能的機構，在履行職責過程 中，以及政府合同單位在完成政府委托任務過程中產(chǎn)生、獲取的，通過計算機等電子裝置處理、保存、傳 輸?shù)臄?shù)據(jù)，相關的程序、文檔等。涉密信息的處理、保存、傳輸、利用按國家保密法規(guī)執(zhí)行。本標準將非涉密政府信息分為敏感信息、公開信息兩種類型。6.3.2敏感信息6.3.2.1敏感信息的概念敏感信息指不涉及

24、國家秘密，但與國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定，以及企業(yè)和公眾利益密切相關的信息，這些信息一旦未經(jīng)授權披露、丟失、濫用、篡改或銷毀可能造成以下后果：a) 損害國防、國際關系；b) 損害國家財產(chǎn)和公共利益，以及個人財產(chǎn)或人身安全；c) 影響國家預防和打擊經(jīng)濟與軍事間諜、政治滲透、有組織犯罪等；d) 影響行政機關依法調(diào)查處理違法、瀆職行為，或涉嫌違法、瀆職行為；e) 干擾政府部門依法公正地開展監(jiān)督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；f) 危害國家關鍵基礎設施、政府信息系統(tǒng)安全；g) 影響市場秩序，造成不公平競爭，破壞市場規(guī)律；h) 可推論出國家秘密事項；i) 侵犯個人隱私、企業(yè)商業(yè)秘密

25、和知識產(chǎn)權；j) 損害國家、企業(yè)、個人的其他利益和聲譽。6.3.2.2敏感信息的范圍敏感信息包括但不限于：a) 應該公開但正式發(fā)布前不宜泄露的信息，如規(guī)劃、統(tǒng)計、預算、招投標等的過程信息；b) 執(zhí)法過程中生成的不宜公開的記錄文檔；c) 一定精度和范圍的國家地理、資源等基礎數(shù)據(jù)；d) 個人信息，或通過分析、統(tǒng)計等方法可以獲得個人隱私的相關信息；e) 企業(yè)的商業(yè)秘密和知識產(chǎn)權中不宜公開的信息；f) 關鍵基礎設施、政府信息系統(tǒng)安全防護計劃、策略、實施等相關信息；g) 行政機構內(nèi)部的人事規(guī)章和工作制度；h) 政府部門內(nèi)部的人員晉升、獎勵、處分、能力評價等人事管理信息；i) 根據(jù)國際條約、協(xié)議不宜公開的

26、信息；j) 法律法規(guī)確定的不宜公開信息；k) 單位根據(jù)國家要求或本單位要求認定的敏感信息。6.3.3 公開信息公開信息指不涉及國家秘密且不是敏感信息的政府信息，包括但不限于：a) 行政法規(guī)、規(guī)章和規(guī)范性文件，發(fā)展規(guī)劃及相關政策；b) 統(tǒng)計信息，財政預算決算報告，行政事業(yè)性收費的項目、依據(jù)、標準；c) 政府集中采購項目的目錄、標準及實施情況；d) 行政許可的事項、依據(jù)、條件、數(shù)量、程序、期限以及申請行政許可需要提交的全部材料目錄及辦理流程；e) 重大建設項目的批準和實施情況；f) 扶貧、教育、醫(yī)療、社會保障、促進就業(yè)等方面的政策、措施及其實施情況；g) 突發(fā)公共事件的應急預案、預警信息及應對情況

27、；h) 環(huán)境保護、公共衛(wèi)生、安全生產(chǎn)、食品藥品、產(chǎn)品質量的監(jiān)督檢查情況等；i) 其他根據(jù)相關法律法規(guī)應該公開的信息。6.4政府業(yè)務分類 6.4.1業(yè)務分類原則確定了信息類型后，還需要對承載相關信息的業(yè)務進行分類。根據(jù)業(yè)務不能正常開展時可能造成的影響范圍和程度，本標準將政府業(yè)務劃分為一般業(yè)務、重要業(yè)務、關鍵業(yè)務等三種類型。6.4.2一般業(yè)務一般業(yè)務出現(xiàn)短期服務中斷或無響應不會影響政府部門的核心任務，對公眾的日常工作與生活造 成的影響范圍、程度有限。通常政府部門、社會公眾對一般業(yè)務中斷的容忍度以天為單位衡量。6.4.3重要業(yè)務重要業(yè)務一旦受到干擾或停頓，會對政府決策和運轉、對公服務產(chǎn)生較大影響，在

28、一定范圍內(nèi)影響公眾的工作生活，造成財產(chǎn)損失，引發(fā)少數(shù)人對政府的不滿情緒。此類業(yè)務出現(xiàn)問題，造成的影響范圍、程度較大。滿足以下條件之一的業(yè)務可被認為是重要業(yè)務： 政府部門對業(yè)務中斷的容忍程度小于24h； 業(yè)務系統(tǒng)的服務對象超過10萬用戶； 信息發(fā)布網(wǎng)站的訪問量超過500萬人次/天； 出現(xiàn)安全事件造成100萬元以上經(jīng)濟損失； 出現(xiàn)問題后可能造成其他較大危害。6.4.4關鍵業(yè)務 關鍵業(yè)務一旦受到干擾或停頓，將對政府決策和運轉、對公服務產(chǎn)生嚴重影響，威脅國家安全和人民生命財產(chǎn)安全，嚴重影響政府聲譽，在一定程度上動搖公眾對政府的信心。滿足以下條件之一的業(yè)務可被認為是關鍵業(yè)務： 政府部門對業(yè)務中斷的容忍程

29、度小于1小時； 業(yè)務系統(tǒng)的服務對象超過100萬用戶； 出現(xiàn)安全事件造成5000萬元以上經(jīng)濟損失，或危害人身安全； 出現(xiàn)問題后可能造成其他嚴重危害。6.5確定優(yōu)先級 在分類信息和業(yè)務的基礎上，綜合平衡采用云計算服務后的效益和風險，確定優(yōu)先部署到云計算環(huán)境的信息和業(yè)務，如圖2所示。a) 承載公開信息的一般業(yè)務可優(yōu)先采用包括公有云在內(nèi)的云計算服務，尤其是那些利用率較低、維護和升級成本較高、與其他系統(tǒng)關聯(lián)度低的業(yè)務應優(yōu)先考慮采用社會化的云計算服務。b) 承載敏感信息的一般業(yè)務和重要業(yè)務，以及承載公開信息的重要業(yè)務也可采用云計算服務，但宜采用安全特性較好的私有云或社區(qū)云。c) 關鍵業(yè)務系統(tǒng)暫不宜采用社會

30、化的云計算服務，但可考慮采用場內(nèi)私有云（自有私有云）。圖 2 采用云計算服務的優(yōu)先級圖 36.6安全保護要求所有的客戶信息都應該得到適當?shù)谋Ｗo。對于公開信息主要是防篡改、防丟失，對于敏感信息還要防止未經(jīng)授權披露、丟失、濫用、篡改和銷毀。所有的業(yè)務都應得到適當保護，保證業(yè)務的安全性和持續(xù)性。不同類型的信息和業(yè)務對安全保護有著不同的要求，客戶應該要求云服務商根據(jù)信息和業(yè)務的安全需求提供相應強度的安全保護，如圖3所示。圖 3 安全保護要求對云計算平臺的安全保護能力要求如下： a) 承載公開信息的一般業(yè)務需要一般安全保護；b) 承載敏感信息的一般業(yè)務和重要業(yè)務需要增強安全保護，以及承載公開信息的重要業(yè)

31、務需要增強安全保護。關于一般安全保護和增強安全保護的具體指標要求，見GB/T311682014。6.7 需求分析6.7.1 概述客戶應從以下方面對云計算服務的需求進行分析，提出各項功能、性能及安全要求。6.7.2 服務模式云計算有SaaS、PaaS和IaaS三種主要服務模式。不同服務模式下云服務商與客戶的控制范圍不同，如圖4所示，圖中兩側的箭頭示意了云服務商和客戶的控制范圍，具體為：a) 在SaaS模式下，應用軟件層的安全措施由客戶和云服務商分擔，其他安全措施由云服務商實施。b) 在PaaS模式下，軟件平臺層的安全措施由客戶和云服務商分擔?？蛻糌撠熥约洪_發(fā)和部署的應用及其運行環(huán)境的安全，其他安

32、全措施由云服務商實施。c) 在IaaS模式下，虛擬化計算資源層的安全措施由客戶和云服務商分擔。客戶負責自己部署的操作系統(tǒng)、運行環(huán)境和應用的安全。云服務商負責虛擬機監(jiān)視器及底層資源的安全。圖4中的下三層由設施層、硬件層和資源抽象控制層構成。設施層和硬件層是云計算環(huán)境的物理 元素，設施層主要包括采暖、通風、空調(diào)、電力和通信等，硬件層包括了所有的物理計算資源，例如：服務 器、網(wǎng)絡(路由器、防火墻、交換機、網(wǎng)絡連接和接口）、存儲部件(硬盤）和其他物理計算元件。資源抽象 控制層通過虛擬化或其他軟件技術實現(xiàn)對物理計算資源的軟件抽象，基于資源分配、訪問控制、使用監(jiān) 視等軟件組件實現(xiàn)資源的訪問控制。在所有服務

33、模式下，這三層均處于云服務商的完全控制下，所有安全措施由云服務商實施。圖4中的上三層由應用軟件層、軟件平臺層、虛擬化計算資源層構成云計算環(huán)境的邏輯元素。虛擬 化計算資源層通過服務接口，使客戶可以訪問虛擬機、虛擬存儲、虛擬網(wǎng)絡等計算資源。軟件平臺層向 客戶提供編譯器、函數(shù)庫、工具、中間件以及其他用于應用開發(fā)和部署的軟件工具與組件。應用軟件層向客戶提供業(yè)務系統(tǒng)需要的應用軟件，客戶通過客戶端或程序接口訪問這些應用軟件?？蛻艨筛鶕?jù)不同服務模式的特點和自身數(shù)據(jù)及業(yè)務系統(tǒng)的安全管理要求，結合自身的技術能力、市場及技術成熟度等因素選擇服務模式。圖 4 服務模式與控制范圍的關系6.7.3 部署模式云計算有公有

34、云、社區(qū)云和私有云三種典型部署模式，不同的部署模式下，云計算基礎設施部署的 場所、客戶訪問云計算服務的網(wǎng)絡鏈路、是否與其他客戶共享資源等屬性有較大差異，客戶需要綜合分析部署模式對自身數(shù)據(jù)和業(yè)務的影響。不同部署模式下關注的主要問題包括：a) 是否與其他客戶共享云計算平臺。公有云是云服務商面向社會提供的服務，客戶需要與其他 未知客戶共享云計算平臺，安全風險相對較大；社區(qū)云中的客戶群體具有共同責任、相同安全 需求、相同策略等屬性，客戶與這些有共同屬性（如同一行業(yè)、同一業(yè)務需求等）的已知客戶共 享資源，安全風險相對較?。凰接性频脑朴嬎闫脚_為客戶獨享，由客戶或專門委托的云服務商 獨立管理和控制云計算平臺

35、，安全性相對較高。b) 對云計算平臺管理技能的要求。若采用私有云、社區(qū)云，且云計算平臺由客戶承擔管理任務，則需要客戶具備專業(yè)的技術人才，對人員技能的要求遠比公有云高。c) 業(yè)務的可擴展性要求。公有云的資源由大量客戶共享，資源規(guī)模較大，客戶可以根據(jù)業(yè)務和資源使用情況隨時調(diào)整資源需求，可以充分擴展；社區(qū)云和私有云的靈活程度會受到具體的部署 場所和策略的影響?？蛻魬C合考慮以上問題，選擇適合的部署模式，使安全風險可控。6.7.4 功能需求的穩(wěn)定性和通用性當客戶的業(yè)務功能需求不斷變化時，云服務商需要不斷開發(fā)、測試和部署新的組件。云計算的多客戶共享資源特點使得云計算平臺基于客戶的功能定制或變更較為困難。

36、因此，為了提高應用規(guī)模和效益，云服務商通常愿意提供通用性較好、功能相對穩(wěn)定和成熟的服務。通用的功能需求有助于客戶參考成熟的應用案例，包括參考其部署、運行監(jiān)管、評估等最佳實踐，可提高效率并降低安全風險。另外，業(yè)務功能的通用性利于實現(xiàn)規(guī)模化所帶來的低成本效益?？蛻魬獌?yōu)先將功能需求不經(jīng)常發(fā)生變化的業(yè)務部署或遷移到云計算平臺，還要考慮是否已有成功的應用案例。6.7.5 資源的動態(tài)需求特點有些業(yè)務具有臨時、周期性特點，如公務員招考等業(yè)務系統(tǒng)，可能會出現(xiàn)訪問和請求的突發(fā)高峰，要求可根據(jù)訪問需求動態(tài)分配資源。此類業(yè)務采用云計算服務，可以滿足動態(tài)、靈活的資源需求，且客戶 只需為業(yè)務系統(tǒng)所占用的資源支付使用費用

37、。客戶應優(yōu)先將對資源有動態(tài)、周期變化需求的業(yè)務部署或遷移到云計算平臺，可在滿足業(yè)務性能需求的前提下節(jié)省資金。6.7.6 時延時延是指云計算環(huán)境處理某個請求的時間延遲，包括客戶請求消息傳輸?shù)皆朴嬎悱h(huán)境和結果回傳 時間，以及云計算環(huán)境的處理時間。不同類型的應用對云計算服務的時延要求差異明顯，例如，電子郵 件通常容許出現(xiàn)短暫的服務中斷和較大的網(wǎng)絡時延，但自動化控制與實時應用一般都對時延要求較高?？蛻魬槍I(yè)務系統(tǒng)對響應速度方面的要求做詳盡分析，確定業(yè)務本身對時延的容忍度，以及可能采取的補救措施等。在將數(shù)據(jù)和業(yè)務部署或遷移到云計算平臺前，應考慮響應時間、海量數(shù)據(jù)傳輸性能 等指標要求。6.7.7 業(yè)務持

38、續(xù)性云計算服務是否會中斷、是否能持續(xù)訪問依賴于多方面因素，包括網(wǎng)絡、云計算平臺以及云服務商等。網(wǎng)絡依賴。云計算服務依賴于互聯(lián)網(wǎng)等網(wǎng)絡，客戶通過持續(xù)可用的網(wǎng)絡連接來獲取服務。網(wǎng)絡依賴意味著每個應用都是網(wǎng)絡應用，從客戶到云計算平臺的網(wǎng)絡復雜度通常高于客戶內(nèi)部局域網(wǎng)。平臺依賴。盡管專業(yè)的云計算平臺具有較高的可靠性，但出于人為因素（如惡意攻擊或管理員的失 誤）、自然災害(如洪水、臺風、地震等）的原因，云計算平臺故障與服務中斷不可能完全避免。云服務商依賴。采用自有系統(tǒng)時，即使軟硬件供應商暫停技術支持、售后服務或停業(yè)，客戶可能不 會立即受到影響，可以繼續(xù)使用其產(chǎn)品。對于社會化云計算服務而言，客戶高度依賴云

39、服務商提供的服務，云服務商倒閉、市場變化等主觀或客觀原因所造成的中斷或停止，會立即導致客戶所需服務的中斷 或停止。在采用云計算服務前，應對云計算服務的可靠性、持續(xù)性需求進行充分評估，應關注中斷頻率與預期恢復時間?？煽紤]如下措施：a) 客戶與云計算平臺之間的網(wǎng)絡鏈路采用多個網(wǎng)絡運營商的優(yōu)質鏈路，做到網(wǎng)絡鏈接冗余。b) 確定云服務商是否有異地數(shù)據(jù)中心實現(xiàn)數(shù)據(jù)與業(yè)務系統(tǒng)的異地備份，保障即使自然災害發(fā)生，也能對數(shù)據(jù)進行有效保護和恢復。c) 對云服務商的經(jīng)營狀態(tài)進行定期檢查，發(fā)現(xiàn)異常及時處理。6.7.8 可移植性與互操作性可移植性。移植是指將數(shù)據(jù)和業(yè)務系統(tǒng)從一個云服務商遷移到另一個云服務商的云計算平臺，

40、或遷移回客戶的數(shù)據(jù)中心。可移植性取決于標準化的接口與數(shù)據(jù)格式?？梢浦残缘膶崿F(xiàn)難度與采用的云 計算服務模式有關，通常從IaaS、PaaS到SaaS可移植性的難度逐漸增加?；ゲ僮餍浴２渴鹪谠朴嬎闫脚_上的業(yè)務系統(tǒng)可能需要與其他系統(tǒng)進行數(shù)據(jù)交互，不同云計算平臺 間及與自有信息系統(tǒng)之間的數(shù)據(jù)交換與訪問目前還較為困難。同時，云服務商為了商業(yè)競爭的目的，對可移植性和互操作性支持一般不夠積極?？蛻魬贫▽?shù)據(jù)和業(yè)務系統(tǒng)從某一云計算平臺遷移到其他云計算平臺或自有數(shù)據(jù)中心的計劃，充分考慮云計算服務與其他已有或將來的業(yè)務系統(tǒng)集成需求。6.7.9 數(shù)據(jù)的存儲位置云服務商在數(shù)據(jù)中心選址時，為了節(jié)省建造、能源、雇員等成本

41、，可能會將數(shù)據(jù)中心分布在不同的地區(qū)，甚至不同的國家。云計算服務的運行管理對客戶往往缺少透明性，客戶難以掌握數(shù)據(jù)和副本在存儲 設備和數(shù)據(jù)中心的具體位置。根據(jù)國家的有關規(guī)定，存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計算基礎設施不得設在境外?？蛻粼诖_ 定采用云計算服務時，應禁止云服務商在境外存儲、處理客戶數(shù)據(jù)，不得由于客戶數(shù)據(jù)存儲位置的改變而改變其司法管轄權。6.7.10 監(jiān)管能力傳統(tǒng)計算模式中，用戶直接控制、管理自己的數(shù)據(jù)和業(yè)務系統(tǒng)。在云計算平臺中，客戶的數(shù)據(jù)及運 行過程中生成、獲取的數(shù)據(jù)都在云服務商的直接控制下，客戶沒有直接的控制權?？蛻粜枰ㄟ^監(jiān)管了 解和掌握自身數(shù)據(jù)和業(yè)務系統(tǒng)在云計算平臺上的狀態(tài)，了

42、解云計算平臺是否提供了足夠的安全防護措施滿足安全需求?？蛻魬ㄟ^合同明確云服務商的責任和義務，強調(diào)客戶對數(shù)據(jù)和業(yè)務系統(tǒng)運行狀態(tài)的知情權；要求 云計算平臺提供必要的監(jiān)管接口和日志査詢功能，建立有效的審査、檢查機制，實現(xiàn)對云計算服務的有 效監(jiān)管。6.8 形成決策報告完成對信息和業(yè)務的綜合分析后，需要形成采用云計算服務的決策報告，經(jīng)本單位最高領導批準后 成為指導采用云計算服務的重要依據(jù)。報告應包括但不限于以下內(nèi)容：a) 背景描述。描述擬采用云計算服務的信息和業(yè)務；b) 效益分析。從場地、人員、設備、軟件、運行管理、維護升級、能耗等方面，對采用本地應用與云計算服務所需費用進行綜合分析；c) 云計算服務

43、模式、部署模式選擇。分析客戶與云服務商的安全措施實施邊界和管理邊界；d) 風險分析。分析數(shù)據(jù)和業(yè)務部署到云計算環(huán)境后可能遇到的安全威脅，提出應對措施；e) 功能需求分析。分析不同模式下的資源需求，數(shù)據(jù)的備份與恢復能力，備份數(shù)據(jù)的存儲位置，數(shù)據(jù)的傳輸方式和網(wǎng)絡帶寬要求，擬部署到云計算平臺上的業(yè)務與其他系統(tǒng)之間的數(shù)據(jù)交互 需求等；f) 性能需求分析。主要分析可用性、可靠性、恢復能力、事務響應時間、吞吐率等指標；g) 安全要求?；趯蕚洳渴鸬皆朴嬎闫脚_的信息和業(yè)務的分類結果，確定云計算服務的安全 能力要求；h) 業(yè)務持續(xù)性要求。將業(yè)務系統(tǒng)遷移到云計算平臺后，原有系統(tǒng)可與遷移到云計算平臺的業(yè)務 系統(tǒng)

44、并行運行一段時間；i) 退出云計算服務或變更云服務商的初步方案；j) 對客戶相關人員進行安全意識、技術和管理培訓的方案；k) 本單位負責采用云計算服務的領導、工作機構及其責任；l) 采購和使用云計算服務過程中應該考慮的其他重要事項。7選擇服務商與部署7.1 云服務商安全能力要求為客戶提供云計算服務的云服務商應具備以下10個方面的安全能力。7.1.1 系統(tǒng)開發(fā)與供應鏈安全云服務商應在開發(fā)云計算平臺時對其提供充分保護，對信息系統(tǒng)、組件和服務的開發(fā)商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供有關安全措施的文檔和

45、信息，配合客戶完成對數(shù)據(jù)和業(yè)務系統(tǒng)的管理。7.1.2 系統(tǒng)與通信保護云服務商應在云計算平臺的外部邊界和內(nèi)部關鍵邊界上監(jiān)視、控制和保護網(wǎng)絡通信，并采用結構化設計、軟件開發(fā)技術和軟件工程方法有效保護云計算平臺的安全性。7.1.3 訪問控制云服務商應嚴格保護云計算平臺的客戶數(shù)據(jù)，在允許人員、進程、設備訪問云計算平臺之前，應對其 進行身份標識及鑒別，并限制其可執(zhí)行的操作和使用的功能。7.1.4 配置管理云服務商應對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。7.1.5 維護云服務商應維護好云

46、計算平臺設施和軟件系統(tǒng)，并對維護所使用的工具、技術、機制以及維護人員進行有效的控制，且做好相關記錄。7.1.6 應急響應與災備云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析和控制及系統(tǒng)恢復等，對事件進行跟蹤、記錄并向相關人員報告。云服務商應具備容災恢復能力，建立必要的備份與恢復設施和機制，確?？蛻魳I(yè)務可持續(xù)。7.1.7 審計云服務商應根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善 保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的非授權訪問、修改和刪除

47、行為。7.1.8 風險評估與持續(xù)監(jiān)控云服務商應定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。云服務商應制定監(jiān)控目標清單，對目標進行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權 情況時發(fā)出警報。7.1.9 安全組織與人員云服務商應確保能夠接觸客戶信息或業(yè)務的各類人員（包括供應商人員）上崗時具備履行其安全責 任的素質和能力，還應在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調(diào)動或離職時履 行安全程序，對于違反安全規(guī)定的人員進行處罰。7.1.10 物理與環(huán)境保護云服務商應確保機房位于中國境內(nèi)，機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。

48、云服務商應對機房進行監(jiān)控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。7.2確定云服務商7.2.1 選擇云服務商為保證數(shù)據(jù)和業(yè)務安全，客戶應選擇通過安全審查的云服務商。選擇云服務商應考慮但不限于以下方面的因素選擇云服務商的過程中，應考慮但不限于以下方面的因素：a) 云服務商所能提供的服務模式能否滿足客戶需求；b) 云服務商所能提供的部署模式能否滿足客戶需求c) 云服務商具有的安全能力（一般保護或增強保護）能否滿足客戶需求；d) 需要云服務商定制開發(fā)的需求；e) 云服務商對運行監(jiān)管的接受程度，是否提供運行監(jiān)管接口；f) 云計算平臺的可擴展性、可用性

49、、可移植性、互操作性、功能、容量、性能指標； g) 云服務商能否滿足本標準5.3節(jié)中提出的司法管轄權不變的要求；h) 數(shù)據(jù)的存儲位置，包括數(shù)據(jù)傳輸?shù)穆窂?；i) 災難恢復能力能否滿足客戶需求；j) 資源占用、帶寬租用、遷移退出、監(jiān)管、培訓等費用的計費方式和標準； k) 出現(xiàn)信息安全事件并造成損失時，云服務商的補償能力與責任； l) 云服務商是否配合對其雇員進行背景調(diào)查。7.2.2 人員背景調(diào)查 客戶根據(jù)信息的重要敏感程度，確定是否需要對訪問敏感數(shù)據(jù)的云服務商工作人員進行背景調(diào)查。在需要背景調(diào)查時應委托相關職能部門進行。7.3 合同中的安全考慮7.3.1 概述合同是明確云服務商與客戶間責任和義務的

50、基本手段。有效的合同是安全、持續(xù)使用云計算服務 的基礎，應全面、明確地制定合同的各項條款，突出考慮信息安全問題。7.3.2 云服務商的責任和義務合同應明確云服務商需承擔以下責任和義務：a) 承載客戶數(shù)據(jù)和業(yè)務的云計算平臺應按照政府信息系統(tǒng)安全管理要求進行管理，為客戶提供 云計算服務的云服務商應遵守政府信息系統(tǒng)安全管理政策及標準。b) 客戶提供給云服務商的數(shù)據(jù)、設備等資源，以及云計算平臺上客戶業(yè)務運行過程中收集、產(chǎn)生、 存儲的數(shù)據(jù)和文檔等都屬客戶所有，云服務商應保證客戶對這些資源的訪問、利用、支配等 權利。c) 云服務商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關信息提供給他國政府及 組織。

51、d) 未經(jīng)客戶授權，不得訪問、修改、披露、利用、轉讓、銷毀客戶數(shù)據(jù)；在服務合同終止時，應將數(shù) 據(jù)、文檔等歸還給客戶，并按要求徹底清除數(shù)據(jù)。如果客戶有明確的留存要求，應按要求留存 客戶數(shù)據(jù)。e) 采取有效管理和技術措施確?？蛻魯?shù)據(jù)和業(yè)務系統(tǒng)的保密性、完整性和可用性。f) 接受客戶的安全監(jiān)管。g) 當發(fā)生安全事件并造成損失時，按照雙方的約定進行賠償。h) 不以持有客戶數(shù)據(jù)相要挾，配合做好客戶數(shù)據(jù)和業(yè)務的遷移或退出。i) 發(fā)生糾紛時，在雙方約定期限內(nèi)仍應保證客戶數(shù)據(jù)安全。j) 法律法規(guī)明確或雙方約定的其他責任和義務。7.3.3服務水平協(xié)議服務水平協(xié)議(簡稱SLA)約定云服務商向客戶提供的云計算服務的

52、各項具體技術和管理指標，是 合同的重要組成部分。客戶應與云服務商協(xié)商服務水平協(xié)議，并作為合同附件。服務水平協(xié)議應與服務需求對應，針對需求分析中給出的范圍或指標，在服務水平協(xié)議中要給出明 確參數(shù)。服務水平協(xié)議中需對涉及的術語、指標等明確定義，防止因二義性或理解差異造成違約糾紛或 客戶損失。7.3.4保密協(xié)議可訪問客戶信息或掌握客戶業(yè)務運行信息的云服務商應與客戶簽訂保密協(xié)議；能夠接觸客戶信息 或掌握客戶業(yè)務運行信息的云服務商內(nèi)部員工，應簽訂保密協(xié)議，并作為合同附件。保密協(xié)議應包括：a) 遵守相關法律法規(guī)、規(guī)章制度和協(xié)議，在客戶授權的前提下合理使用客戶信息，不得以任何手 段獲取、使用未經(jīng)授權的客戶信

53、息；b) 未經(jīng)授權，不應在工作職責授權范圍以外使用、分享客戶信息；c) 未經(jīng)授權，不得泄露、披露、轉讓以下信息：1) 技術信息：同客戶業(yè)務相關的程序、代碼、流程、方法、文檔、數(shù)據(jù)等內(nèi)容；2) 業(yè)務信息：同客戶業(yè)務相關的人員、財務、策略、計劃、資源消耗數(shù)量、通信流量大小等業(yè)務 信息；3) 安全信息:包括賬號、口令、密鑰、授權等用于對網(wǎng)絡、系統(tǒng)、進程等進行訪問的身份與權限 數(shù)據(jù)，還包括對正當履行自身工作職責所需要的重要、適當和必要的信息；d) 第三方要求披露c)中信息或客戶敏感信息時，不應響應，并立刻報告；e) 對違反或可能導致違反協(xié)議、規(guī)定、規(guī)程、策略、法律的活動或實踐，一經(jīng)發(fā)現(xiàn)，應立即報告；f

54、) 合同結束后，云服務商應返還c)中信息和客戶數(shù)據(jù)，明確返還的具體要求、內(nèi)容；g) 明確保密協(xié)議的有效期。7.3.5合同的信息安全相關內(nèi)容客戶在與云服務商簽訂合同時，應該全面考慮采用云計算服務可能面臨的安全風險，并通過合同對 管理、技術、人員等進行約定，要求云服務商為客戶提供安全、可靠的服務。合同至少應包括以下信息安全相關內(nèi)容：a) 云服務商的責任和義務，包括但不限于7.3.2的全部內(nèi)容。若有其他方參與，應明確其他方的 責任和義務；b) 云服務商應遵從的技術和管理標準；c) 服務水平協(xié)議，明確客戶特殊的性能需求、安全需求等；d) 保密條款，包括確定可接觸客戶信息特別是敏感信息的人員；e) 客戶

55、保護云服務商知識產(chǎn)權的責任和義務；f) 合同終止的條件及合同終止后云服務商應履行的責任和義務；g) 若云計算平臺中的業(yè)務系統(tǒng)與客戶其他業(yè)務系統(tǒng)之間需要數(shù)據(jù)交互，約定交互方式和接口；h) 云計算服務的計費方式、標準，客戶的支付方式等；i) 違約行為的補償措施；j) 云計算服務部署、運行、應急處理、退出等關鍵時期相關的計劃，這些計劃可作為合同附件，涉 及的相關附件包括但j1) 云計算服務部署方案，確定階段性成果及時間要求；2) 運行監(jiān)管計劃，明確客戶的運行監(jiān)管要求； 3) 應急響應計劃、災難恢復計劃，明確處理安全事件、重大災難事件等的流程、措施、人員等； 4) 退出服務方案，明確退出云計算服務時數(shù)

56、據(jù)和業(yè)務的遷移、退出方案； 5) 培訓計劃，確定云服務商對客戶的培訓內(nèi)容、人員及時間。k) 其他應該包括的信息安全相關內(nèi)容。7.4部署 7.4.1部署為確保部署工作順利開展，客戶應提前與云服務商協(xié)商制定云計算服務部署方案，該方案可作為合同附件。部署工作應按云計算服務部署方案的時間、進度執(zhí)行。如果涉及將正在運行的業(yè)務系統(tǒng)遷移到云計算平臺，客戶還應考慮遷移過程中的業(yè)務安全及服務連續(xù)性要求。 7.4.2部署方案 云計算服務部署方案至少應包括以下內(nèi)容： a) 客戶和云服務商雙方的部署負責人和聯(lián)系人，參與部署的人員及其職責。 b) 部署的實施進度計劃表。 c) 相關人員的培訓計劃。d) 部署階段的風險分

57、析。部署階段的風險可能包括：技術人員誤操作導致的業(yè)務系統(tǒng)數(shù)據(jù)丟失；業(yè)務系統(tǒng)遷移失敗無法回退到初始狀態(tài)；業(yè)務系統(tǒng)遷移過程中的業(yè)務系統(tǒng)中斷；云服務商在部署過程中獲得了額外的訪問客戶信息和資源的權限等。 e) 部署和回退策略。為降低部署階段的安全風險，客戶應制定業(yè)務系統(tǒng)數(shù)據(jù)備份措施、業(yè)務系統(tǒng)遷移過程中的業(yè)務連續(xù)性措施等，另外，還要制定部署失敗的回退策略，避免由于部署失敗導致客戶的數(shù)據(jù)丟失和泄漏。7.4.3 投入運行客戶組織技術力量或委托第三方評估機構對云計算服務的功能、性能和安全性進行測試，各項指標 均滿足要求后方可投人正式運行?？蛻魯?shù)據(jù)和業(yè)務系統(tǒng)遷移后，原有業(yè)務系統(tǒng)應與遷移到云計算平臺上的業(yè)務系統(tǒng)并行運行一段時 間，以確保業(yè)務的持續(xù)性。云計算服務投入運行后，應按第8章的要求加強使用過程中的運行監(jiān)管，確?？蛻裟艹掷m(xù)獲得安 全、可靠的云計算服務。8運行監(jiān)管8.1概述在采用云計算服務時，雖然客戶將部