犐犆犛犔中华人民共和国国家标准犌犅犜信息安全技术云计算服务运行监管框架犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犗狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀犳狉犪犿犲狑狅狉犽狅犳犮犾狅狌犱犮狅犿狆狌狋犻狀犵狊犲狉狏犻犮犲发布实施国家市场监督管理总局中国国家标准化管理委员会发布犌犅犜目次前言引言范围规范性引用文件术语和定义云计算服务运行监管目的及框架运行监管目的运行监管框架运行监管的角色及责任安全控制措施监管安全控制措施内容安全控制措施监管环节变更管理监管变更管理内容变更管理监管环节应急响应监管应急响应内容应急响应监管环节云计算服务运行监管的实现方式概述人工机制自动机制附录资料性附录运行监管交付件模版附录资料性附录安全控制措施运行监管列表参考文献犌犅犜前言本标准按照给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位四川大学中国电子技术标准化研究院北京安信天行技术有限公司北京信息安全测评中心华为技术有限公司阿里云计算有限公司腾讯云计算有限公司中国移动通信有限公司研究院广州赛宝认证中心服务有限公司西安未来国际信息股份有限公司陕西省信息化工程研究院中国电子科技网络信息安全有限公司本标准主要起草人陈兴蜀罗永刚李想刘小茵上官晓丽钟金鑫赵章界葛龙王伟王永霞张磊沈锡庸杨思磊葛小宇王惠莅白杨王启旭胡影犌犅犜引言随着云计算技术的蓬勃发展政府部门及重点行业等对采用云计算服务有了大量需求为确保云服务客户安全地使用云计算服务确保云服务商的安全能力符合国家相关标准要求确保云计算服务各相关方能够实时有效地掌握云计算服务的运行质量和安全状态制定云计算服务运行监管框架本标准以信息安全技术云计算服务安全指南为依据以信息安全技术云计算服务安全能力要求为要求规范了政府部门云服务客户在使用云计算服务的过程中云服务商运行监管方的相关责任及监管内容提出了运行监管框架过程及方式同时本标准为云服务商支撑云计算服务运行监管活动提供指导为运行监管方开展运行监管提供指导犌犅犜信息安全技术云计算服务运行监管框架范围本标准确定了云计算服务运行监管框架规定了安全控制措施监管变更管理监管和应急响应监管的内容及监管活动给出运行监管实现方式的建议本标准适用于对政府部门使用的云计算服务进行运行监管也可供重点行业和其他企事业单位使用云计算服务时参考规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术云计算服务安全指南信息安全技术云计算服务安全能力要求术语和定义界定的以及下列术语和定义适用于本文件运行监管方狅狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀狅狉犵犪狀犻狕犪狋犻狅狀独立于云计算服务相关方且具有专业技术能力开展运行监管的机构云计算服务运行监管目的及框架运行监管目的开展云计算服务运行监管的目的是保障云计算服务持续满足国家相关法律法规行政命令政策和标准云计算服务相关方能够及时有效地掌握云计算平台的运行质量和安全状态云计算服务的安全风险可控云计算服务的安全能力持续满足要求从而确保中提出的运行监管主要目标运行监管框架云计算服务运行监管框架是基于国家标准和中的运行监管要求而提出的云计算服务运行监管框架如图所示犌犅犜图运行监管框架云服务商应对云计算服务实施安全控制变更管理及应急响应等方面的管理和技术措施并为运行监管方提供已实施相关管理和技术措施的支撑材料形成交付件对监管活动起到佐证作用的任何实体包括但不限于各种文档图片录音录像实物数据等并以纸质电子等形式有效保存附录给出了运行监管交付件参考模版附录给出了安全控制措施运行监管列表运行监管方对云服务商的交付件进行分析审核评估验证等监管活动形成监管结果告知云计算服务相关方必要时应根据监管结果给出合理的意见和建议运行监管的角色及责任运行监管角色运行监管框架包含两个主要角色云服务商通过国家网络安全审查并为政府部门提供服务的云服务商运行监管方云服务客户的管理部门例如政府信息安全管理部门云服务客户的主管部门等指定或委托的运行监管方云服务商的责任云服务商应确保云计算平台中的安全控制措施持续有效云计算平台中的重大变更风险可控云计算平台中的应急响应及时充分向运行监管方按约定的内容形式频率人工或自动机制等提交运行监管所需交付件并确保交付件真实可靠根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改从而履行中规定的云服务商在运行监管中的责任运行监管方的责任运行监管方应对云计算服务的安全控制措施重大变更和应急响应等进行运行监管与云服务商协商运行监管接口即交付件的内容形式频率和人工或自动机制等确保云服务商提交的交付件安全不得将交付件涉及云服务商的知识产权和商业秘密的材料提供给第三方对云服务商提交的交付件进行分析及审核根据分析审核结果对云计算服务的安全能力进行评估必要时应以抽查核查及测试等方式对交付件中的内容进行验证犌犅犜根据评估验证结论形成评估报告并告知云计算服务相关方必要时应给出整改意见和建议从而帮助云服务客户履行中规定的客户在运行监管活动中的责任安全控制措施监管安全控制措施内容安全控制措施涉及的主要内容包括但不限于系统开发与供应链安全系统与通信保护访问控制配置管理维护应急响应与灾备审计风险评估与持续监控安全组织与人员物理与环境安全安全控制措施监管环节安全控制措施的监管环节包括运行监管方制定安全控制监管策略与计划明确监管目的与要求监管方法与手段细化安全控制措施的监管内容交付件类型格式及频率等云服务商根据运行监管方制定的安全控制措施监管策略与计划对云计算平台的安全状态实施持续监控提交有关安全控制措施有效性的相关交付件运行监管方根据云服务商提交的交付件对云计算平台的安全控制措施进行分析审核必要时应对安全控制措施的有效性进行评估并将结果告知云计算服务相关方变更管理监管变更管理内容变更管理涉及的主要内容包括但不限于见中重大变更监管鉴别包括身份鉴别和数据源鉴别和访问控制措施的变更数据存储实现方法的变更备份机制和流程的变更与外部服务商网络连接的变更安全控制措施的变更已部署的商业软硬件产品的变更云计算服务分包商的变更例如服务商更换服务商云计算服务运行主体的变更云计算平台软件版本的变更云计算平台基础设施的变更系统架构的变更犌犅犜变更管理监管环节重大变更的监管环节如下运行监管方制定变更管理监管策略与计划明确监管目的与要求方法与手段交付件等云服务商在实施重大变更之前应对变更项进行安全影响分析必要时应对变更项进行测试验证并根据与运行监管方约定的格式内容时间提交有关重大变更安全性的相关交付件运行监管方根据云服务商提交的交付件对云计算平台的变更项进行分析审核必要时应对变更项的安全性进行评估验证并将结果告知云计算服务相关方应急响应监管应急响应内容应急响应涉及的主要内容包括但不限于见中安全事件监管非授权访问事件如对云计算平台下的业务系统数据或其他计算资源进行非授权逻辑或物理访问等发生安全攻击事件如拒绝服务攻击恶意代码感染如云计算平台被病毒蠕虫特洛伊木马等恶意代码感染云计算平台宕机重大安全威胁发现重大安全信息泄露应急响应监管环节应急响应的监管环节如下运行监管方制定应急响应监管策略与计划明确监管目的与要求监管方法与手段细化应急响应的监管内容交付件类型格式等云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性有威胁的安全事件时开展并记录应急响应活动形成应急响应交付件并及时提交给运行监管方运行监管方根据云服务商提交的交付件对安全事件及应急响应活动进行分析评估必要时应对应急响应活动的充分性进行评估验证并将结果告知云计算服务相关方云计算服务运行监管的实现方式概述运行监管方应通过有效准确及时的方式获取有关云计算平台安全的信息及交付件以便对云计算服务安全能力开展分析评估审核验证等监管活动获取运行监管信息和交付件的实现方式包括手工机制和自动机制人工机制云服务商根据与运行监管方约定的内容及频率以确定的非在线方式向运行监管方提交支撑运行监管活动的相关交付件交付件列表可参考附录犌犅犜自动机制主要内容自动机制监管的主要内容包括但不限于限制对各类介质的访问并对介质访问情况进行审计对配置项的参数进行集中管理应用和验证检测云计算服务平台中新增的非授权软件硬件或固件组件维护信息系统组件清单支持事件处理过程支持事件报告过程提高事件响应支持资源的可用性对审查分析和报告过程进行整合以支持对可疑活动的调查和响应比较不同时间的脆弱性扫描结果以判断信息系统漏洞趋势更新恶意代码防护机制管理账号监视和控制远程访问会话以检测网络攻击确保远程访问策略得以实现对缺陷修复后的组件进行检测对攻击事件进行准实时分析温湿度控制要求实现自动机制时应考虑遵守国家相关法律行政命令指令政策条例标准和指导方针使用开放性规范标准技术及协议从各种信息源中提取信息提供与其他工具的可交互性能够对安全控制变更管理及应急响应过程中的信息进行整合并格式化输出犌犅犜附录犃资料性附录运行监管交付件模版犃安全控制措施报告表云服务商应逐项对照附录的各项要求的实现情况在表中进行说明表犃安全控制措施报告表安全控制措施报告表云服务商云服务商名称安全能力安全类安全属性安全项一般要求增强要求章节号内容描述对内容中给出的赋值和选择项需在表格中明确列出赋值和选择的具体参数安全措施措施名称云计算服务名称作用范围通用专用混用安全控制措施说明对采用的安全控制措施的功能效果及可用性等特性进行说明拟提供的证据可另附页能证明安全控制措施有效性的说明犃重大变更报告表对于计划中的重大变更云服务商应在计划实施之前以与运行监管方约定的时间内在表中进行说明犌犅犜表犃重大变更报告表重大变更报告表云服务商云服务商名称云计算服务名称云服务客户安全能力要求服务模式部署模式软件即服务平台即服务基础设施即服务其他请注明公有云私有云社区云混合云其他请注明变更计划完成日期联系人职务联系人电话变更计划开始日期联系人姓名联系人电子邮件变更类型云服务商变动云服务商名称注册地企业性质管理层物理环境变化机房位置网络环境变化网络架构与外部信息系统的连接与外部服务商的连接云平台关键软件组成变更版本代码组件供应商云平台关键硬件组成变更硬件组成地址供应商供应链关键服务商变更变更原因说明变更情况说明变更影响分析可另附页一般增强云计算服务分包商的变更例如服务商更换服务商鉴别包括身份鉴别和数据源鉴别和访问控制措施的变更数据存储的实现方法变更备份机制和流程变更安全措施的撤除其他犃重大安全事件报告表云服务商应在发现重大安全事件的第一时间启动应急响应程序并告知运行监管方事件响应完成后依据时间响应处理过程的情况在表中进行说明犌犅犜表犃重大安全事件报告表重大安全事件报告表云服务商名称报告时间年月日时分发生了什么事件发生事件的时间发现事件的情