《信息安全技术 云计算服务安全能力要求-编制说明》

一、工作简况

1、任务来源

本标准和GB/T31167-2014《信息安全技术云计算服务安全指南》是我国

首批发布的云计算服务安全国家标准，有效地支撑了党政部门云计算服务安全审

查工作，从技术和管理两个方面分别阐述了云计算服务安全要求。随着云计算服

务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样

化，逐步发现标准存在审查工作量大、周期长，责任划分难度增加、云服务安全

标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题，为支

撑审查工作的开展，有效指导云服务商建设安全的云计算平台，迫切需要结合新

趋势、新问题对本标准进行修订，并做好与相关标准的衔接。

2019年7月，国家互联网信息办公室等发布《云计算服务安全评估办法》，

规定参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》，对面

向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。

根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划：

《信息安全技术关键信息基础设施安全防护能力评价方法》，该标准由交通运输

信息中心负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员

本标准由中电数据服务有限公司牵头，四川大学、中国电子技术标准化研

究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信

息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测

中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术

有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份

有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾

讯计算机系统有限公司、京东云计算（北京）有限公司、浙江蚂蚁金服小微金融

服务集团股份有限公司、武汉理工大学、上海市方达（北京）律师事务所等单位

共同参与起草。

3、主要工作过程

（1）2018年10月至12月，在全国信安标委2018年第二次会议周上做标

准修订报告，会后开展云计算标准、技术和产业以及党政部门云服务安全管理实

1

践调研

（2）2019年1月至2月，研究国内外云计算安全相关标准，为本标准的编

制奠定基础，包括：对比GB/T31168-2014与网络安全等级保护2.0；GB/T

31168-2014与FEDRAMP安全基线的对照表（NIST80053）分析比较；FEDRAMP

中、高级安全基线比较表高级要求新增条款；以及CSA云安全指南重点内容摘

要等。

（3）2019年2月至4月，成立编制组，召开项目申报启动会，讨论明确标

准修订思路；在编制组范围收集标准反馈意见，组织3次标准研讨会；形成标准

草案。

（4）2019年4月，在全国信安标委2019年第1次会议周上做立项汇报，

征集标准修订意见。

（5）2019年5月至6月，召开专家研讨会，请云服务安全审查和第三方机

构技术专家对标准草案提出意见，根据反馈意见修改完善标准草案。

（6）2019年7月至8月，征集参与过云服务安全审查工作的云服务商反馈

意见，包括阿里云、华为、电信、浪潮、曙光、腾讯、金山云、京东云、未来国

际、深信服等，根据反馈意见修改完善标准草案。

（7）2019年9月，通过立项审批，公开征集标准参编单位。

（9）2019年10月，召开正式立项后的标准项目启动会和专家评审会，根

据反馈意见修改完善标准草案，在全国信安标委2019年第2次会议周上做标准

修订工作汇报，经组内投票同意转征求意见稿。

（10）2019年11月，在北京组织编制组研讨会，修改完善标准内容；在成

都四川大学组织的云计算安全国家标准和相关问题研讨会上，就当前的一些关键

问题进行讨论并征求专家意见。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

一是先进性原则。充分吸收已有云安全相关标准，本标准在修订过程中充

分参考了国际、国内有关云计算安全的先进标准和技术规范，对美国Fedramp

云安全基线要求、NIST800-53、ISO/IEC27017、CSA安全指南等相关标准的长

处进行了吸收，基本覆盖了上述标准的要求。

2

二是中立性原则。保持技术中立，在提出安全要求时，不限制具体的实现

方法，以便于为今后的技术发展留下空间。

三是合理性原则。结合我国云计算服务安全评估工作实践以及云计算技术

发展和服务部署的实际情况，提出适当的安全要求。

二、主要内容

本标准描述了以社会化方式为特定客户提供云计算服务时，云服务商应具

备的安全技术能力。

本标准适用于对政府部门使用的云计算服务进行安全管理，也可供其他关

键信息基础设施运营者使用云计算服务时参考，还适用于指导云服务商建设安全

的云计算平台和提供安全的云计算服务。

本标准对云服务商提出了基本安全能力要求，反映了云服务商在保障云计

算环境中客户信息和业务的安全时应具备的基本能力。这些安全要求分为11类，

每一类安全要求包含若干项具体要求。

11类安全要求分别是：

系统开发与供应链安全：云服务商应在开发云计算平台时对其提供充分

保护，对信息系统、组件和服务的开发商提出相应要求，为云计算平台配置足够

的资源，并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全

措施。云服务商还应为客户提供有关安全措施的文档和信息，配合客户完成对信

息系统和业务的管理。

系统与通信保护：云服务商应在云计算平台的外部边界和内部关键边界

上监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方

法有效保护云计算平台的安全性。

访问控制：云服务商应在允许人员、进程、设备访问云计算平台之前，

应对其进行身份标识及鉴别，并限制其可执行的操作和使用的功能。

数据保护：云服务商应严格保护云计算平台的客户数据，确保境内运营

中收集和产生的客户数据在境内存储，提供重要数据的备份与恢复功能，协助客

户完成数据迁移并在服务结束时安全返回数据。

配置管理：云服务商应对云计算平台进行配置管理，在系统生命周期内

建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并

3

设置和实现云计算平台中各类产品的安全配置参数。

维护：云服务商应维护好云计算平台设施和软件系统，并对维护所使用

的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。

应急响应：云服务商应为云计算平台制定应急响应计划，并定期演练，

确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划，包括

对事件的预防、检测、分析和控制及系统恢复等，对事件进行跟踪、记录并向相

关人员报告。云服务商应具备容灾恢复能力，建立必要的备份与恢复设施和机制，

确保客户业务可持续。

审计：云服务商应根据安全需求和客户要求，制定可审计事件清单，明

确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审

查，还应防范对审计记录的非授权访问、修改和删除行为。

风险评估与持续监控：云服务商应定期或在威胁环境发生变化时，对云

计算平台进行风险评估，确保云计算平台的安全风险处于可接受水平。云服务商

应制定监控目标清单，对目标进行持续安全监控，并在发生异常和非授权情况时

发出警报。

安全组织与人员：云服务商应确保能够接触客户信息或业务的各类人员

（包括供应商人员）上岗时具备履行其安全责任的素质和能力，还应在授予相关

人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程

序，对于违反安全规定的人员进行处罚。

物理与环境保护：云服务商应确保机房位于中国境内，机房选址、设计、

供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控，

严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通

过云服务商的明确授权。

与GB/T31168—2014相比，主要变化如下：

——删除原4.7节本标准的结构。

——修改术语定义3.1-3.6，与GB/T32400《云计算术语》标准保持一致。

——删除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1策略与

规程，相关要求整合至14安全组织与人员14.1策略与规程中。

4

——精简标准条款，梳理减少原则性要求、重复性要求，其中有相关国家标

准要求的，如物理与环境要求引用。

——明确标准内容，减少赋值和选择操作，确需保留的，以举例或附录模板

等形式尽可能给出参考值。

——结合云计算平台的特点，修改6.1边界保护、6.11系统虚拟化等，细化

网络隔离等内容。

——增加6.14安全管理中心，针对云计算管理平台或系统的安全能力要求。

——补充PAAS/SAAS等模式的安全技术要求，包括：7.21Web访问安全、7.22

API访问安全

——增加第8章数据保护，做好与关键信息基础设施保护、个人信息和重要

数据保护相关标准的衔接，确保客户迁移数据过程中的业务连续性和数

据完整性。

——将第10章维护改为“维护管理”，侧重管理要求。

——增加第16章高级保护要求。根据GB/T31167，承载敏感信息的重要业

务和关键业务，应选择达到高级保护能力的云服务。高级保护要求主要

包括：1）结合云计算安全评估工作实践，将原增强要求中要求偏高的

内容调整到高级保护要求，如采用自动机制；2）采纳行业云中较高的

安全要求，如金融行业云对灾备的要求；3）参考关键信息基础设施保

护中适用于云计算平台的要求，如关键信息基础设施保护有关供应链保

护、日志留存期限的要求；4）其他云计算安全标准中较高的技术要求，

如等级保护四级新增的云计算服务扩展要求等。

——增加附录B不同云能力类型下的不适用项，说明“基础设施”、“平台”、

“应用程序”能力类型的适用项或不适用项列表。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

5

无。

六、采用国际标准和国外先进标准情况

标准参考了国际和国外相关标准情况，根据我国国情制定。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准符合《中华人民共和国网络安全法》等现有法律法规的要求。根据

《云计算服务安全评估办法》规定，与GB/T31167《信息安全技术云计算服

务安全指南》配合使用，为政府部门和关键信息基础设施的云计算服务安全评

估提供技术支撑。

八、重大分歧意见的处理经过和依据

编制过程中未出现重大分歧。其他详见意见汇总处理表。

九、标准性质的建议

根据本标准的性质，建议本标准为推荐性标准。

十、贯彻标准的要求和措施建议

建议云计算服务提供商、第三方评估机构、网络安全