标准搜索结果: 'GB/T 37972-2019'
| 标准编号 | GB/T 37972-2019 (GB/T37972-2019) | | 中文名称 | 信息安全技术 云计算服务运行监管框架 | | 英文名称 | Information security technology - Operation supervision framework of cloud computing service | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 22,220 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37972-2019: 信息安全技术 云计算服务运行监管框架
GB/T 37972-2019 英文名称: Information security technology -- Operation supervision framework of cloud computing service
1 范围
本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管
的内容及监管活动,给出运行监管实现方式的建议。
本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使
用云计算服务时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
3 术语和定义
GB/T 31167-2014界定的以及下列术语和定义适用于本文件。
3.1
运行监管方
独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构。
4 云计算服务运行监管目的及框架
4.1 运行监管目的
开展云计算服务运行监管的目的是保障:
a) 云计算服务持续满足国家相关法律法规、行政命令、政策和标准;
b) 云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态;
c) 云计算服务的安全风险可控;
d) 云计算服务的安全能力持续满足要求。
从而确保GB/T 31167-2014中8.1提出的运行监管主要目标。
4.2 运行监管框架
云计算服务运行监管框架是基于国家标准GB/T 31167-2014和GB/T 31168-2014中的运行监
管要求而提出的。云计算服务运行监管框架如图1所示。
4.3 运行监管的角色及责任
4.3.1 运行监管角色
运行监管框架包含两个主要角色:
a) 云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。
b) 运行监管方。云服务客户的管理部门(例如:政府信息安全管理部门、云服务客户的主管部门
等)指定或委托的运行监管方。
4.3.2 云服务商的责任云服务商应确保:
a) 云计算平台中的安全控制措施持续有效;
b) 云计算平台中的重大变更风险可控;
c) 云计算平台中的应急响应及时充分;
d) 向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件,并确保
交付件真实可靠。
从而履行GB/T 31167-2014中8.2.3规定的云服务商在运行监管中的责任。
4.3.3 运行监管方的责任
运行监管方应:
a) 对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管;
b) 与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等;
c) 确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料
提供给第三方;
d) 对云服务商提交的交付件进行分析及审核;
e) 根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式
对交付件中的内容进行验证;
f) 根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议。
从而帮助云服务客户履行GB/T 31167-2014中8.2.2规定的客户在运行监管活动中的责任。
5 安全控制措施监管
5.1 安全控制措施内容
安全控制措施涉及的主要内容包括但不限于:
a) 系统开发与供应链安全;
b) 系统与通信保护;
c) 访问控制;
d) 配置管理;
e) 维护;
f) 应急响应与灾备;
g) 审计;
h) 风险评估与持续监控;
i) 安全组织与人员;
j) 物理与环境安全。
5.2 安全控制措施监管环节
安全控制措施的监管环节包括:
a) 运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段,细化安全
控制措施的监管内容、交付件类型、格式及频率等;
b) 云服务商根据运行监管方制定的安全控制措施监管策略与计划,对云计算平台的安全状态实
施持续监控,提交有关安全控制措施有效性的相关交......
|