路径: 主页 > GB/T > 第208页 > GB/T 38249-2019 | 标准编号 | GB/T 38249-2019 (GB/T38249-2019) | | 中文名称 | 信息安全技术 政府网站云计算服务安全指南 | | 英文名称 | Information security technology - Security guide of cloud computing services for government website | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 18,152 | | 发布日期 | 2019-10-18 | | 实施日期 | 2020-05-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 38249-2019
Information security technology--Security guide of cloud computing services for government website
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
政府网站云计算服务安全指南
2019-10-18发布
2020-05-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 1
4.1 安全角色 1
4.2 云计算服务生命周期 2
5 规划准备 2
5.1 概述 2
5.2 安全职责 3
5.3 需求分析 3
5.4 服务商选择 5
5.5 合同签订 5
5.6 云迁移方案 6
6 部署迁移 6
6.1 概述 6
6.2 安全职责 6
6.3 云迁移实施 7
6.4 云迁移交付 8
7 运行管理 9
7.1 概述 9
7.2 安全职责 9
7.3 安全防范 10
7.4 安全监测 10
7.5 应急响应 10
7.6 评估改进 11
8 服务退出 11
8.1 概述 11
8.2 安全职责 11
8.3 服务退出安全 12
参考文献 13
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:西安未来国际信息股份有限公司、阿里云计算有限公司、中国电子技术标准化研
究院、四川大学、北京信息安全测评中心、国家信息技术安全研究中心、华为技术有限公司、杭州安恒信
息技术有限公司、北京安信天行科技有限公司、北京京东尚科信息技术有限公司、深信服科技股份有限
公司、北京时代远景信息技术研究院、中国电信集团有限公司、首都之窗、烽火科技集团有限公司、杭州
迪普科技股份有限公司、广州赛宝认证中心服务有限公司、西北大学。
本标准主要起草人:刘贤刚、陈兴蜀、叶润国、王茜、史晨昱、刘俊河、白峰、张磊、张辉、石慧、沈锡镛、
陈雪秀、赵章界、耿涛、周俊、钟金鑫、李媛、何明、刘国伟、江舟、孙骞、路琨、张月、王涛、李瑞涛、黄少青、
许玉娜、庞思铭、齐蕙杰、贾思琦、周立勇、商涛、赵少敏。
引 言
在大力推动政府网站选择云服务的背景下,云计算受到广泛的关注。在云计算服务模式下,在大多
数传统信息安全问题依然存在的同时,还出现了一些新的安全风险。
GB/T 31167提出了政府部门采用云计算服务的安全管理基本要求,以及云计算服务生命周期各
阶段的安全管理和技术要求。
本标准则给出了政务网站采用云计算服务中各种参与角色的安全职责,细化了云服务商和云服务
代理商的安全责任,可用于指导采用云计算服务的政府机构的网站安全保障建设。
信息安全技术
政府网站云计算服务安全指南
1 范围
本标准给出了政府网站采用云计算服务过程中,在规划准备、部署迁移、运行管理、服务退出等阶段
的安全技术措施和安全管理措施。
本标准适用于为采用云计算服务,特别是社会化云计算服务的政务网站提供建设与运营指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 31167 信息安全技术 云计算服务安全指南
GB/T 31168 信息安全技术 云计算服务安全能力要求
GB/T 31506-2015 信息安全技术 政府门户网站系统安全技术指南
3 术语和定义
GB/T 25069、GB/T 31167界定的以及下列术语和定义适用于本文件。
3.1
云服务代理商 cloudserviceagent
负责支撑或协助云服务客户和其他云服务提供者之间进行协商的参与方。
注:包括网站开发商、系统集成商、安全服务商等。
3.2
政府网站 governmentwebsite
政府机构为对外发布政务信息、提供在线服务、开展互动交流等而建立的网站。......
|