信息安全技术云计算服务安全指南编制说明

1、国家标准信息安全技术 云计算服务安全指南编制说明一、工作简况1.1 任务来源信息安全技术 云计算服务安全指南 是国家标准化管理委员会 2019 年 下达的信息安全国家标准修订项目，国标计划号为：31167-XXXX该标准编制工作由四川大学牵头， 收到参与修订申请书的单位包括中电数据服务有限公司、 神 州网信技术有限公司、 陕西省信息化工程研究院、 中国电子科技网络信息安全有 限公司、国家信息技术安全研究中心、 阿里云计算有限公司、 杭州安恒信息技术 股份有限公司、北京安信天行科技有限公司、 中国网络安全审查技术与认证中心、 华为技术有限公司、网神信息技术（北京）股份有限公司、上海观安信息技术股

2、 份有限公司、 陕西省网络与信息安全测评中心、 深圳海云安网络安全技术有限公 司、启明星辰信息技术集团股份有限公司、 深圳腾讯计算机系统有限公司、 国家 工业信息安全发展研究中心、 公安部第三研究所、 北京信息安全测评中心、 华信 咨询设计研究院有限公司、 中电长城网际系统应用有限公司、 北京天融信网络安 全技术有限公司、联想（北京）有限公司、北京神州绿盟科技有限公司、中国信 息安全测评中心等单位。1.2 主要工作过程 标准修订项目组通过半年多的会议研讨、邮件交流、独立和集中修改等方 式，共同编制了信息安全技术 云计算服务安全指南标准修订草案。修订项 目组不断壮大， 共同努力，形成了 6 个主

3、要版本和若干标准编制组内部讨论的版 本，最后形成了目前的标准修订草案。标准编制组开展的主要工作如下：1）2019年 01 月 31 日，在原有标准制定工作组的基础上，成立标准修订工 作组，由四川大学陈兴蜀教授主持召开项目启动在线视频会议。与会专 家就标准项目申报工作、编制工作、标准内容、项目成果形式等进行交 流。2）2019年 02月 1 9日，在贵州大厦镇远厅召开研讨会。与会专家就术语定 义、数据和业务分级、退出云服务和迁移的指导、安全风险管理、服务 水平协议等专题进行讨论，川大统筹标准申请工作所需材料撰写工作。3) 2019年3月至 2019年8月，就标准的应用情况，展开广泛调研。在调 研

4、过程中，着重调研美国 FedRAM、ISO/IEC、ITU、美国国防部、云计 算安全联盟等相关标准及其应用情况，了解国内外有关云计算安全管理 政策、要求、过程等最新成果，供本项目工作借鉴。4) 2019 年 09 月 29 日，由四川大学陈兴蜀教授主持召开在线视频会议，根 据之前研讨会中初步明确的问题以及川大修改过程发现的问题进行讨 论，并对准修订任务进行分工。5) 2019 年 10 月 08 日，由陈兴蜀教授主持召开在线视频会议。首先由川大 王起旭博士介绍标准修改思路及修改内容、各成员单位反馈的修改意见 和建议汇总表。随后，与会专家就标准内容及多项重要议题展开讨论， 形成标准修改版本 V1

5、.0。6) 2019 年 10 月 21 日，在北京北航致真大厦光明顶会议室召开研讨会。就 标准修改版本 V1.0 进行讨论，与会专家提出了很多宝贵的修改意见和建 议，依据专家提出的建议形成标准修改版本 V2.0 。7) 2019 年 10 月 25 日，在北京召开“标准”专家审查会，与会专家认真审 查了“标准”草案和修订工作，充分肯定标准修订工作并提出少量修改 意见。评审专家一致认为标准修订内容充实、语言较规范、内容安排合 理，对完善我国云计算服务的安全管理、支撑云计算服务安全评估工作 的开展具有重要意义。8) 2019 年 10 月 26 日，由陈兴蜀教授主持召开在线视频会议。首先由王启

6、旭博士介绍评审专家修改意见，随后修订组内专家展开讨论，并达成共 识，由川大负责形成标准修改版本 V3.0 。9) 2019 年 11 月 30 日，由陈兴蜀教授主持，在成都科华苑宾馆会议室召开 标准修订及专题研讨会。 会上，由王启旭博士介绍标准修订的具体内容， 以及对FedRAM评估对象的调研报告，随后针对 31167在应用中的问题 以及 31167和 31168的共性问题展开讨论，进一步明确接下来修订工作 需要关注的重点。二、编制原则和主要内容2.1 编制原则信息安全技术 云计算服务安全指南 是为了指导政府部门和关键信息基 础设施安全采用云计算服务的指导标准， 本标准指导政府部门及等客户做好

7、采用 云计算服务的前期分析和规划， 选择合适的云服务商， 对云计算服务进行运行监 管，考虑退出云计算服务和更换云服务商的安全风险， 指导政府部门和关键基础 设施相关部门在云计算服务的生命周期采取相应的安全技术和管理措施， 保障数 据和业务的安全。本标准通过调研美国FedRAM、ISO/IEC、ITU、美国国防部、云计算安全联 盟等相关标准及其应用情况， 了解国内外有关云计算安全管理政策、 要求、过程 等最新成果，供本项目工作借鉴。美国联邦政府对云计算服务的安全管理发展已经日臻成熟，我国云计算经 过今年的高速发展也出现了一系列实际问题， 因此本标准的一个主要制订思路是 对云计算安全管理方面做顶层

8、设计， 全面覆盖使用云计算服务的全生命周期中的 主要环境，再综合考虑我国云计算产业和对云计算服务评估工作与之前发布的标 准出现的不适应问题， 修订标准相关条款， 从而实现为政府部门通过该标准能解 决采用云计算服务的关键安全问题，能有效、安全地采用云计算服务的目标。2.2 主要修订内容本标准重点修订内容如下：1) 对已有术语及定义的修定。使其与 GB/T32400-2015 一致。2) 新增术语。增加了参与方、云服务合作者、云服务安全提供商、云审计 者、云服务用户、云服务产品的术语，使标准更加完善。3) 为保持标准一致性，参照GB/T32400-2015,将“服务模式”修改为“云 能力类型”，将

9、“部署模式”修改为“云部署模型” ，并对全文相关描述 进行完善。4) 增加责任共担模型。 指导不同服务模式下云服务商、 客户、 云服务安全 提供商的责任范围，并对不同安全层次上需要的安全能力提出要求。5) 针对关键信息基础设施的修改。 将关键信息基础设施相关业务定义为关 键业务，并在信息分类中添加了与关键信息基础设施有关的敏感信息。6) 安全保护要求的修改。 在过去两级保护的基础上， 结合关键信息基础设 施的要求，修改为三级保护，由低到高为一般保护、增强保护、高级保 护，并将原标准中的安全保护要求图进行了相应修改。7）云服务商安全能力要求的修改。简化“ 7.1 云服务商安全能力要求”章 节内容

10、，安全能力具体的要求直接指向 GB/T 31168-xxxx 。8）服务水平协议的增加。引用已发布的 GB/T36325-2018 标准，添加了服 务水平协议指导。9）重大变更。根据对国内外相关标准的参考， 在重大变更部分增加了以下 内容：云服务安全级别的变更、 使用新的加密模块或服务， 或对现有模 块/ 服务的更改、云系统范围的更改，包括但不限于：操作系统升级、 中间件变更、 移除系统组件或提供的服务等、 使用新的数据中心或迁移 到新的设备中、 云服务所有权的变化； 安全措施的撤除、 安全措施的更 改与撤除、云服务商分析得出结论认为变更将对客户业务系统的安全状 态产生不利影响，则必须将其视为

11、重大变更。10）增加了 “附录A （资料性附录）责任划分示例”。11）其他优化文字内容等。2.3 确定主要内容的论据及解决的主要问题1. 确定标准修订主要内容的论据 为进一步增加标准指导实践的作用，在修订过程中，参考GB/T 32399-2015信息技术云计算参考架构、GB/T 32400-2015信息技术云计算概览与 词汇、 GB/T36325-2018 信息技术 云计算 云服务级别协议基本要求 、 GB/T 37972-2019 信息安全技术 云计算服务运行监管框架 、数据安全管理办法（征求意见稿）、个人信息和重要数据出境安全评估办法 （征求意见稿）等与 云计算服务密切相关的条款，对其进行

12、进一步细化解读。比如增加术语以及对已有术语的修订， 保证与现有标准保持一致性， 且能够 覆盖实际应用场景中的重要角色； 增加责任共担模型及责任划分示例， 为用户提 供责任划分指导；扩充重大变更，保证能满足实际需求等。2. 解决的主要问题GB/T 3 1 1 67-2 0 1 4是国内首批云计算相关的国家标准，标准制定之初，我国 云计算技术、 市场远未达到现在的成熟度。 随着云计算的发展， 国内在云计算技 术、市场、标准等多个方面发生了显著变化， 为了更好地适应云计算服务安全的 发展和需求， 标准修订项目需要解决云计算标准发展、 云计算技术和市场发展导 致本标准与国家标准存在的术语一致性问题、部

13、分云计算服务角色未明确定义、 我国云计算服务形态多样导致的评估对象界定困难等问题； 解决采用云计算服务 后风险管理和安全责任界定困难的问题； 解决客户确定上云的数据和业务的决策 模型、风险管理及责任共担模型等安全管理与技术问题； 解决本标准缺少其他领 域，如关键基础设施上云指导等问题。三、主要试验（或验证）情况分析 标准修订组广泛征求审查与认证中心、运营商、云服务提供商相关企业和 在云计算服务领域有丰富经验的企业， 包括阿里巴巴、 腾讯、华为技术有限公司、 微软中国、中国移动等。 他们参与标准修订项目的研讨会， 并根据自身的丰富经 验对修订内容提出建议，对标准的修订奠定了良好基础。四、知识产权

14、情况说明标准的技术内容不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果 本标准是一种方法指南， 用于指导政府部门及关键信息基础设施行业等客户 采用云计算服务的整个过程， 使得客户的信息和信息系统在云计算环境下能获得 成本效益、 实施安全的控制措施、 保障系统和数据的安全， 防止云计算服务给客 户带来的负面影响或利益损害。六、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准 水平的对比情况，或与测试的国外样品、样机的有关数据对比情况 本次修订参考的国际标准，以美国国防部云计算安全要求指南与联 邦风险及授权管理计划为主。对其中等级划分、能力保护要求、持续监管、重 大变更等内容

15、，结合我国具体情况进行了吸收。与美国联邦政府使用云计算服务相比，由于美国信息技术相关标准已经成 体系，可以在云计算安全方面支撑的标准较丰富， 我国云计算安全相关的支持标 准、指导性文件等较为缺乏， 故需要更加全面、 完整地考虑采用云计算服务的安 全问题，该标准涵盖了美国 NIST 的多个特殊出版物的内容，参考了相关标准， 自身形成较为完整的体系。本标准涉及到了采用云计算服务的全生命周期， 目前还没有任何国际、 国外 的标准从客户的角度、 从云计算服务生命周期的角度全面阐述安全相关的技术和 管理措施。七、与有关的现行法律、法规和强制性国家标准的协调性 网络安全法适用于本标准中有关云计算服务安全评

16、估和关键信息基础设 施上云的相关要求。本标准以及云计算服务安全能力要求为实施云计算服 务安全评估办法提供支撑。本标准中的术语以GB/T32400-2015信息技术 云计算 概览与词汇、GB/T 32399-2015 信息技术 云计算 参考架构标准为依据。本标准中服务水平协 议内容以 GB/T 36325-2018 信息技术 云计算 云服务级别协议基本要求为依 据。本标准中的云能力类型和云服务类别以 GB/T 32400-2015 信息技术 云计 算 概览与词汇标准为依据。八、重大分歧意见的处理经过和依据 对于重大分歧意见，标准修订组采用集中封闭讨论、会议讨论的形式确定意见的处理办法，并形成意见处理表。对来自专家、政府部门、产业界等相关单 位的意见，编制组都高度重视，收集、汇总了来自各方面的意见 81 条左右，并 一一进行认真处理。详见意见汇总处理表。