标准解读
《GB/T 34942-2017 信息安全技术 云计算服务安全能力评估方法》是一项国家标准,旨在为云计算服务提供一套系统性的安全能力评估框架。该标准适用于云服务提供商对其所提供服务的安全性进行自我评估,同时也可供第三方机构对云服务的安全性进行独立评价时参考。
根据此标准,评估内容涵盖了多个维度,包括但不限于:数据保护、身份与访问管理、物理及环境安全、运营安全管理等。每一项评估指标都有明确的定义和要求,通过这些具体的要求来衡量云服务在不同方面的安全防护水平。
标准中还详细规定了评估过程中的各个步骤,从准备阶段到执行阶段再到报告编制阶段的具体操作指南。例如,在准备阶段需要确定评估范围、选择合适的评估工具和技术;执行阶段则涉及到对各项安全控制措施的有效性进行测试和验证;最后,在报告编制阶段,则需基于前两阶段的工作成果形成正式的评估报告。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T34942—2017
信息安全技术
云计算服务安全能力评估方法
Informationsecuritytechnology—Theassessmentmethodfor
securitycapabilityofcloudcomputingservice
2017-11-01发布2018-05-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T34942—2017
目次
前言
…………………………Ⅴ
引言
…………………………Ⅵ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
概述
4………………………2
评估原则
4.1……………2
评估内容
4.2……………3
评估证据
4.3……………3
评估实施过程
4.4………………………3
系统开发与供应链安全评估方法
5………………………5
策略与规程
5.1…………………………5
资源分配
5.2……………6
系统生命周期
5.3………………………7
采购过程
5.4……………8
系统文档
5.5……………9
安全工程原则
5.6………………………10
关键性分析
5.7…………………………10
外部信息系统服务及相关服务
5.8……………………11
开发商安全体系架构
5.9………………12
开发过程标准和工具
5.10、……………13
开发商配置管理
5.11…………………15
开发商安全测试和评估
5.12…………17
开发商提供的培训
5.13………………19
防篡改
5.14……………20
组件真实性
5.15………………………20
不被支持的系统组件
5.16……………21
供应链保护
5.17………………………22
系统与通信保护评估方法
6………………25
策略与规程
6.1…………………………25
边界保护
6.2……………26
传输保密性和完整性
6.3………………28
网络中断
6.4……………29
可信路径
6.5……………29
密码使用和管理
6.6……………………30
协同计算设备
6.7………………………30
移动代码
6.8……………30
Ⅰ
GB/T34942—2017
会话认证
6.9……………31
移动设备的物理连接
6.10……………32
恶意代码防护
6.11……………………32
内存防护
6.12…………………………34
系统虚拟化安全性
6.13………………34
网络虚拟化安全性
6.14………………37
存储虚拟化安全性
6.15………………37
访问控制评估方法
7………………………39
策略与规程
7.1…………………………39
用户标识与鉴别
7.2……………………40
设备标识与鉴别
7.3……………………41
标识符管理
7.4…………………………41
鉴别凭证管理
7.5………………………42
鉴别凭证反馈
7.6………………………44
密码模块鉴别
7.7………………………44
账号管理
7.8……………45
访问控制的实施
7.9……………………46
信息流控制
7.10………………………47
最小特权
7.11…………………………48
未成功的登录尝试
7.12………………49
系统使用通知
7.13……………………50
前次访问通知
7.14……………………50
并发会话控制
7.15……………………51
会话锁定
7.16…………………………51
未进行标识和鉴别情况下可采取的行动
7.17………52
安全属性
7.18…………………………52
远程访问
7.19…………………………53
无线访问
7.20…………………………54
外部信息系统的使用
7.21……………54
信息共享
7.22…………………………55
可供公众访问的内容
7.23……………56
数据挖掘保护
7.24……………………56
介质访问和使用
7.25…………………57
服务关闭和数据迁移
7.26……………58
配置管理评估方法
8………………………59
策略与规程
8.1…………………………59
配置管理计划
8.2………………………59
基线配置
8.3……………60
变更控制
8.4……………61
配置参数的设置
8.5……………………63
最小功能原则
8.6………………………64
信息系统组件清单
8.7…………………65
Ⅱ
GB/T34942—2017
维护评估方法
9……………67
策略与规程
9.1…………………………67
受控维护
9.2……………67
维护工具
9.3……………68
远程维护
9.4……………69
维护人员
9.5……………70
及时维护
9.6……………71
缺陷修复
9.7……………71
安全功能验证
9.8………………………72
软件固件信息完整性
9.9、、……………73
应急响应与灾备评估方法
10……………74
策略与规程
10.1………………………74
事件处理计划
10.2……………………74
事件处理
10.3…………………………75
事件报告
10.4…………………………76
事件处理支持
10.5……………………77
安全警报
10.6…………………………78
错误处理
10.7…………………………78
应急响应计划
10.8……………………79
应急培训
10.9…………………………81
应急演练
10.10…………………………81
信息系统备份
10.11……………………82
支撑客户的业务连续性计划
10.12……………………84
电信服务
10.13…………………………84
审计评估方法
11…………………………85
策略与规程
11.1………………………85
可审计事件
11.2………………………86
审计记录内容
11.3……………………86
审计记录存储容量
11.4………………87
审计过程失败时的响应
11.5…………87
审计的审查分析和报告
11.6、…………88
审计处理和报告生成
11.7……………89
时间戳
11.8……………90
审计信息保护
11.9……………………90
不可否认性
11.10………………………91
审计记录留存
11.11……………………92
风险评估与持续监控评估方法
12………………………92
策略与规程
12.1………………………92
风险评估
12.2…………………………93
脆弱性扫描
12.3………………………93
持续监控
12.4…………………………95
信息系统监测
12.5……………………96
Ⅲ
GB/T34942—2017
垃圾信息监测
12.6……………………98
安全组织与人员评估方法
13……………98
策略与规程
13.1………………………98
安全组织
13.2…………………………99
安全资源
13.3…………………………100
安全规章制度
13.4……………………100
岗位风险与职责
13.5…………………101
人员筛选
13.6…………………………101
人员离职
13.7…………………………102
人员调动
13.8…………………………103
访问协议
13.9…………………………104
第三方人员安全
13.10………………104
人员处罚
13.11………………………105
安全培训
13.12………………………106
物理与环境安全评估方法
14……………107
策略与规程
14.1………………………107
物理设施与设备选址
14.2……………107
物理和环境规划
14.3…………………108
物理环境访问授权
14.4………………109
物理环境访问控制
14.5………………110
通信能力防护
14.6……………………112
输出设备访问控制
14.7………………112
物理访问监控
14.8……………………113
访客访问记录
14.9……………………114
电力设备和电缆安全保障
14.10……………………114
应急照明能力
14.11…………………115
消防能力
14.12………………………116
温湿度控制能力
14.13………………117
防水能力
14.14………………………118
设备运送和移除
14.15………………118
参考文献
……………………119
Ⅳ
GB/T34942—2017
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院国家信息技术安全研究中心中国信息安全测评中
:、、
心中国电子科技集团第研究所中国信息安全研究院有限公司上海市信息安全测评认证中心中
、30、、、
国信息安全认证中心中电长城网际系统应用有限公司四川大学华东师范大学国家信息中心神州
、、、、、
网信技术有限公司浪潮北京电子信息有限公司华为技术有限公司阿里云计算有限公司深圳赛西
、()、、、
信息技术有限公司北京工业大学中标软件有限公司西安未来国际信息股份有限公司中金数据系统
、、、、
有限公司北京软件产品质量检测检验中心重庆邮电大学成都信息工程大学北京邮电大学西安电
、、、、、
子科技大学桂林电子科技大学河南科技大学北京航空航天大学中国传媒大学
、、、、。
本标准主要起草人高林王惠莅李京春何延哲任望梁露露刘贤刚范科峰上官晓丽杨晨
:、、、、、、、、、、
都婧张玲王强徐御周民徐云陈晓桦吴迪闵京华马文平何道敬赵丹丹刘俊河梁满刘虹
、、、、、、、、、、、、、、、
赵江黄敏陈雪秀徐宁崔玲万国根陈晓峰杨力裴庆祺唐一鸿蔡磊叶润国伍前红黄永洪
、、、、、、、、、、、、、、
杨震李刚陈小松王勇张志勇毛剑姜正涛
、、、、、、。
Ⅴ
GB/T34942—2017
引言
信息安全技术云计算服务安全能力要求对云服务商提出了基本安全能力
GB/T31168—2014《》
要求反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力
,。
将云计算服务安全能力要求分为一般要求和增强要求增强要求是对一般要求的
GB/T31168—2014,
补充和强化在实现增强要求时一般要求应首先得到满足有的安全要求只列出了增强要求一般要
。,。,
求标为无这表明具有一般安全能力的云服务商可以不实现此项安全要求在具体的应用场景下
“”。。,
云服务商也可采用删减补充替代等多种方式对安全要求进行调整
、、。
本标准是的配套标准对应于的第章第章规定的
GB/T31168—2014,GB/T31168—20145~14
要求本标准也从第章第章给出了相应的评估方法本标准主要为第三方评估机构开展云计算
,5~14。
服务安全能力评估提供指导第三方评估机构可采用访谈检查测试等多种方式制定相应安全评估
。、、,
方案并实施安全评估
,。
Ⅵ
GB/T34942—2017
信息安全技术
云计算服务安全能力评估方法
1范围
本标准规定了依据信息安全技术云计算服务安全能力要求开展评估的
GB/T31168—2014《
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 浙江省宁波市海曙区2024年期末试卷四年级语文第二学期(解析版)
- 2026年锂离子蓄电池制造工专项题库(附答案与解释)
- 2026年高压线路架设工专项题库(附答案与解释)
- 市场营销知识考试复习题库(附答案)
- 高中生物教师资格考试面试知识点必刷题详解
- 透射电子显微镜的原理与应用
- 为何善意会伤人阅读札记
- 发酵设备租赁服务合同2026
- 客栈人力资源配置合同
- 循环经济2026年生态产品价值协议
- 2026江苏无锡市江阴市月城实验小学校医招聘1人笔试备考题库及答案详解
- 2026年全国新高考2卷数学试卷(含答案及解析)
- 2026年全国一级建造师之一建港口与航道工程实务考试快速提分题详细参考解析
- 甘肃日报报业集团招聘笔试题库2026
- (完整)青岛版四年级数学上册三位数乘两位数与三位数除以两位数的竖式计算
- T-TCMCA 0032-2024 同步带传动轨道交通装备车门用同步带试验方法
- 23G409先张法预应力混凝土管桩
- GB/T 18281.3-2024医疗保健产品灭菌生物指示物第3部分:湿热灭菌用生物指示物
- 纳税检查 第2版 郝宝爱 课程标准
- 广东省学校安全条例知识竞赛题库(附答案)安全知识考试题库
- DL∕T 5534-2017 配电网可行性研究报告内容深度规定
评论
0/150
提交评论