本标准可以为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。
《信息安全技术 云计算服务安全指南》国家标准意见稿,本文件给出了本标准提出了党政机关及关键信息基础设施运营者采用云计算服务的安全管理基本要求,明确了采用云计算服务的生命周期各阶段的安全管理和技术措施。本标准为党政机关及关键信息基础设施运营者采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于党政机关及关键信息基础设施运营者采购和使用云计算服务,也可供其他企事业单位参考。
目的意义
GB/T 31167-2014是国内首部云计算相关的国家标准,标志制定之初,我国云计算技术、市场远未达到现在的成熟度。
随着云计算的发展,国内在云计算技术、市场、标准等多个方面发生了显著变化,为了更好地使用当前的发展显著,该标准需要进行适当修订。
本标准可以为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供关键信息基础设施行业和领域以及其他企事业单位参考。
主要内容
范围:本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。主要技术内容:1.修订云计算及安全的相关术语,主要研究云计算基本特征、服务模式、部署模式等基本概念;2.完善云计算风险管理管理过程相关内容、增加云服务责任共担模型;3.修订云计算服务水平协议、重大变更管理等内容;4.修订云计算服务重大变更管理;5.修订退出云计算服务、云服务迁移相关指导内容。
范围和主要技术内容:
云计算是一种计算资源的新型利用模式,客户以购买服务的方式,通过网络获得计算、存储、软件等不同类型的资源。在云计算模式下,使用者不需要自己建设数据中心、购买软硬件资源,避免了前期基础设施的大量投入,仅需较少的使用成本即可获得优质的信息技术(IT)资源和服务。
随着云计算相关技术的不断发展,云计算服务质量和安全能力不断提升,云计算已面向各个行业提供丰富、高效和稳定的服务。通过采购云计算服务,使用者将自己的数据和业务部署到云服务商的平台中,大量客户数据集中,使云计算服务可能面临的安全风险成为焦点。特别是党政机关及关键信息基础设施运营者采用云计算服务,尤其是社会化的云计算服务时,应特别关注安全问题。
本标准指导党政机关及关键信息基础设施运营者做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更换云服务商的安全风险。本标准指导党政机关及关键信息基础设施运营者在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全地使用云计算服务。
与本标准紧密配合的GB/T 31168-XXXX 面向云服务商,提出了为党政机关及关键信息基础设施运营者提供服务时应该具备的信息安全能力要求。