2017年5月24日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 云计算服务运行监管框架》征求意见稿,征求意见截止日期为2017年7月7日。以下是征求意见稿全文。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
标准文本:信息安全技术云计算服务运行监管框架 (点击下载)
编制说明:
国家标准《信息安全技术 云计算服务运行监管框架》
《征求意见稿》编制说明
2016年6月,在云计算及大数据特别工作组讨论会议上,一致同意编制《信息安全技术 云计算服务运行监管框架》。本标准为自主制定标准,主办单位为四川大学,参与起草的单位有中国电子技术标准化研究院、西安未来国际信息股份有限公司、北京安信天行股份有限公司、阿里巴巴(北京)软件服务有限公司、中国移动通信集团公司、国家信息安全工程技术研究中心、、阿里云计算有限公司、中国软件评测中心、腾讯云计算(北京)有限责任公司、华为技术有限公司、中国信息安全测评中心、中国电子科技网络信息安全有限公司、中电长城网际系统应用有限公司、陕西省信息化工程研究院、广州赛宝认证中心服务有限公司、等单位,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
美国在大力推广云计算服务的过程中,于2011年12月引入了FedRAMP联邦风险及授权管理计划,提供一个标准化的方法来对云计算产品和服务进行安全评估、授权与持续监管。在2012年7月,FedRAMP发表了《持续监管策略与指南》,这项指南要求云服务提供商必须持续监控提供的云服务,检测系统的安全控制措施、变更管理以及应急响应,保证基于风险的策略能够准确地制定。
同时,云安全联盟CSA也提出了云计算服务第三方审计方面的初步框架。我国在2014年也发布了首批云计算服务安全方面的标准。
虽然目前在云计算服务安全方面的标准研究受到广泛重视,但在云计算服务持续监管方面,国际和国内都还缺乏相关方面的框架、角色、责任等的标准,CSA虽然提出了审计相关的框架,但没有具有可操作性的标准或规范推出。我国在持续监管的规范及标准方面的研究也还是空白。
我国在2014年9月3日发布了《云计算服务安全指南》和《云计算服务安全能力要求》两项标准,并在2015年4月1日正式实施。全国信息安全标准化技术委员会秘书处在中央网信办指导下,组织开展了云计算服务安全审查标准应用试点工作,对国内的华为、曙光、浪潮和阿里云等多家云服务提供商开展了网络安全审查。《云计算服务安全指南》和《云计算服务安全能力要求》两项标准规范了采购云服务的安全管理及能力要求,对政府部门采用云计算服务提出了安全的技术和管理要求,要求政府部门的用户必须采用通过安全审查的云计算服务。《云计算服务安全指南》和《云计算服务安全能力要求》两项标准促进了云计算在政府部门的安全应用。
三、编制原则
调研国内外已有云计算服务的实现技术、架构和运行机制;调研国内外与云计算服务持续监管相关的标准、规范、技术等现状;结合我国国情,分析云计算服务持续监管中可能涉及的角色及在持续监管中监管职责的界定;举办国内学术交流会,与相关企事业单位、政府机构的信息安全专家开展技术交流。
本项目将从云计算服务持续监管框架进行持续监管标准体系的研究,主要包括以下内容:
云计算服务持续监管相关术语的定义和缩略语;
云计算服务持续监管的框架,其中包括持续监管的角色、目的、内容、活动及责任;
云计算服务持续监管的过程,其中包括安全控制监管、变更管理监管及应急响应监管;
云计算服务持续监管的实现机制,其中主要介绍自动化机制;
四、工作过程简要说明
1、2016年6月,在云计算及大数据特别工作组讨论会议上,一致同意编制《云计算服务运行监管框架及技术规范》,对国内外云计算服务持续监管方法、应用、政策和标准进行调研分析,确定云计算服务持续监管标准化需求。
2、2016年7月初,成立正式的云计算服务持续监管标准编制组,由四川大学牵头,中国电子技术标准化研究院、西安未来国际信息股份有限公司、北京安信天行股份有限公司、阿里巴巴集团、中国移动、国家信息安全工程中心、华为、阿里云、中国软件评测中心、长城网际、中国信息安全测评中心、等单位组成标准编制组。
3、2016年8月15日,在成都星辰航都国际酒店明志厅召开第一次标准编制组工作会议,对标准编制背景、标准化内容等进行了深入讨论,确定了标准编制工作机制,确定了标准编制提纲。
3、2016年9月20日,标准编制组按照参与单位提供的资料汇总形成了国家标准《信息安全技术 云计算服务持续监管框架及技术规范》初步草案。
5.2016年10月20日,对标准存在的问题和意见进行了修改,并对后面需要编制的内容进行了安排。
8.2017年3月18日,信安标委在北京组织了对立项标准的评审会,会上针对当前标准的内容提出了修改意见及建议。
9.2017年3月25,编制组在北京应物会议中心组织了组内专家评审会,对新修改的标准内容进行的评审,对标准题目的修改达成了一致意见,各位专家对标准的组织结构、内容细节提出了修改建议。
10.2017年4月11日,信安标委在武汉东西湖会议中心举行了年度第一次标准工作周,会上各位专家对最新的标准草案内容发表了意见,并提出了宝贵的修改意见及建议。
11.2017年4月26日,在北京网信办会议室举行了专家评审会,对草案内容提出了各自的见解,并提出了合理的意见和建议。
五、标准结构和内容说明
本标准主要内容分为7个章节,分别针对云计算服务持续监管的框架、过程以及实现机制进行了详细的说明。
本标准明确规范了政府部门云服务客户在使用云计算服务的过程中,云服务商、持续监管方的相关责任及监管内容,提出了持续监管框架、过程及方式。同时,本标准为云服务商制定和实施云计算服务持续监管策略和计划提供指导,也为持续监管方进行持续监管活动提供指导。
本标准主要结构如下:
前言 2
引言 3
信息安全技术 云计算服务持续监管框架 4
1 范围 4
2 规范性引用文件 4
3 术语和定义 4
4 缩略语 5
5 云计算服务持续监管框架 5
5.1 概述 5
5.2 持续监管框架 5
6 云计算服务持续监管过程 7
6.1 概述 7
6.2 安全控制监管 7
6.3 变更管理监管 9
6.4 应急响应监管 10
7 云计算服务持续监管的实现机制 11
7.1 概述 11
7.2 自动机制 11
参考文献 13
六、与相关法律法规及国家有关规定、国内相关标准的关系
本标准以GB/T 31167-2014《信息安全技术 云计算服务安全指南》标准为依据、以GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》标准为要求,GB/T 31167-2014面向党政部门,提出了使用云计算服务时的安全管理要求,GB/T 31168-2014面向云服务商,提出了云服务商在为党政部门提供云计算服务时应该具备的安全能力要求。
详见标准意见汇总处理表。
建议本标准作为推荐性国家标准发布实施。
本标准针对云服务客户云服务商提供的云计算服务采用云计算服务的的持续监管环节,阐述了云计算服务持续监管的主要角色和职责、持续监管的目的和内容、持续监管框架、过程以及方式等内容,用于指导持续监管活动中的云服务客户、云服务商和第三方监管机构的监管活动,以保障云计算服务安全能力持续达到云计算客户的安全需求。
本标准适用于政府部门采用云计算服务的持续监管活动,也可供重点行业和其他企事业单位使用云计算服务时参考。
本标准不涉及专利。
《信息安全技术 云计算服务运行监管框架》
国家标准编制组
2017年5月5日