GB/T 37972-2019
基本信息
标准号:
GB/T 37972-2019
中文名称:信息安全技术 云计算服务运行监管框架
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1213017
相关标签:
信息安全
技术
计算
服务
运行
监管
框架
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准编号:GB/T 37972-2019
标准名称:信息安全技术 云计算服务运行监管框架
英文:Information security technology-Operation supervision framework of cloud computing service
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:1413K
标准介绍:随着云计算技术的蓬物发展,政府部门及重点行业等对采用云计算服务有了大量需求,为确保云服务客户安全地使用云计算服务,确保云服务商的安全能力符合国家相关标准要求,确保云计算服务各相关方能够实时、有效地掌握云计算服务的运行质量和安全状态,制定云计算服务运行监管框架
本标准以GByT31167-2014《信息安全技术云计算服务安全指南》为依据,以GB/T31168-2014《信息安全技术云计算服务安全能力要求》为要求,规范了政府部门云服务客户在使用云计算服务的过程中,云服务商、运行监管方的相关责任及监管内容,提出了运行监管框架、过程及方式。同时,本标准为云服务商支撑云计算服务运行监管活动提供指导,为运行监管方开展运行监管提供指导
1范围
本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建议
本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使用云计算服务时参考
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T31167-2014信息安全技术云计算服务安全指南
GB/T31168—2014信息安全技术云计算服务安全能力要求
3术语和定义
GB/T31167-2014界定的以及下列术语和定义适用于本文运行监管方 operation supervision organization
标准内容
ICS35.040
中华人民共和国国家标准
GB/T37972—2019
信息安全技术
云计算服务运行监管框架
Information security technologyOperation supervision framework ofcloud computing service
2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
GB/T37972—2019
规范性引用文件
术语和定义
:云计算服务运行监管目的及框架4
运行监管目的
运行监管框架
运行监管的角色及责任
5安全控制措施监管
5.1安全控制措施内容
5.2安全控制措施监管环节
6:变更管理监管
6.1变更管理内容
6.2变更管理监管环节
7应急响应监管
7.1应急响应内容
7.2应急响应监管环节
8云计算服务运行监管的实现方式概述
人工机制
自动机制
附录A(资料性附录)
附录B(资料性附录)
参考文献
运行监管交付件模版
安全控制措施运行监管列表
本标准按照GB/T1.1—2009给出的规则起草。GB/T37972—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:四川大学、中国电子技术标准化研究院、北京安信天行技术有限公司、北京信息安全测评中心、华为技术有限公司、阿里云计算有限公司、腾讯云计算有限公司、中国移动通信有限公司研究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中国电子科技网络信息安全有限公司。本标准主要起草人:陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、张磊、沈锡庸、杨思磊、葛小宇、王惠莅、白杨、王启旭、胡影。1
GB/T37972—2019
随着云计算技术的蓬勃发展,政府部门及重点行业等对采用云计算服务有了大量需求,为确保云服务客户安全地使用云计算服务,确保云服务商的安全能力符合国家相关标准要求,确保云计算服务各相关方能够实时、有效地掌握云计算服务的运行质量和安全状态,制定云计算服务运行监管框架本标准以GB/T31167—2014《信息安全技术云计算服务安全指南》为依据,以GB/T31168一2014《信息安全技术云计算服务安全能力要求》为要求,规范了政府部门云服务客户在使用云计算服务的过程中,云服务商、运行监管方的相关责任及监管内容,提出了运行监管框架、过程及方式。同时,本标准为云服务商支撑云计算服务运行监管活动提供指导,为运行监管方开展运行监管提供指导。1范围
信息安全技术
云计算服务运行监管框架
GB/T37972—2019
本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建议本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使用云计算服务时参考。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T31167—2014
信息安全技术云计算服务安全指南GB/T31168一2014信息安全技术云计算服务安全能力要求术语和定义
GB/T31167—2014界定的以及下列术语和定义适用于本文件3.1
operationsupervisionorganization运行监管方
独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构4
云计算服务运行监管目的及框架4.1
运行监管目的
开展云计算服务运行监管的目的是保障:云计算服务持续满足国家相关法律法规、行政命令、政策和标准;a)
b)云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态;云计算服务的安全风险可控;
d)云计算服务的安全能力持续满足要求从而确保GB/T31167—2014中8.1提出的运行监管主要目标4.2
运行监管框架
云计算服务运行监管框架是基于国家标准GB/T31167一2014和GB/T31168一2014中的运行监管要求而提出的。云计算服务运行监管框架如图1所示1
GB/T37972—2019
安全控划措施
变更管理
应急响应
监管结果反馈
自动机制(接口获取
人工机制(手动提交:
图1运行监管框架
分析审核
评估验证
监管结果
云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施,并为运行监管方提供已实施相关管理和技术措施的支撑材料,形成交付件(对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存),附录A给出了运行监管交付件参考模版,附录B给出了安全控制措施运行监管列表。运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动,形成监管结果告知云计算服务相关方,必要时应根据监管结果给出合理的意见和建议。4.3运行监管的角色及责任
4.3.1运行监管角色
运行监管框架包含两个主要角色:a)云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。b)运行监管方。云服务客户的管理部门(例如:政府信息安全管理部门、云服务客户的主管部门等)指定或委托的运行监管方。
4.3.2云服务商的责任
云服务商应确保:
a)云计算平台中的安全控制措施持续有效;云计算平台中的重大变更风险可控;b)
云计算平台中的应急响应及时充分;c
向运行监管方按约定的内容、形式、频率,人工或自动机制等提交运行监管所需交付件,并确保交付件真实可靠;
根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。从而履行GB/T31167一2014中8.2.3规定的云服务商在运行监管中的责任。4.3.3运行监管方的责任
运行监管方应:
对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管:b)与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等;c)确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方;
d)对云服务商提交的交付件进行分析及审核;e)
根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式对交付件中的内容进行验证;
GB/T37972—2019
f)根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议从而帮助云服务客户履行GB/T311672014中8.2.2规定的客户在运行监管活动中的责任。安全控制措施监管
安全控制措施内容
安全控制措施涉及的主要内容包括但不限于:a)
系统开发与供应链安全:;
系统与通信保护;
访问控制;
配置管理;
维护;
应急响应与灾备;
审计;
风险评估与持续监控;
安全组织与人员;
物理与环境安全。
安全控制措施监管环节
安全控制措施的监管环节包括:a)运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段,细化安全控制措施的监管内容、交付件类型、格式及频率等:b)云服务商根据运行监管方制定的安全控制措施监管策略与计划,对云计算平台的安全状态实施持续监控:提交有关安全控制措施有效性的相关交付件:c)
运行监管方根据云服务商提交的交付件,对云计算平台的安全控制措施进行分析、审核,必要时,应对安全控制措施的有效性进行评估,并将结果告知云计算服务相关方。6变更管理监管
变更管理内容
变更管理涉及的主要内容包括但不限于(见GB/T31167—2014中8.4.2重大变更监管):鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更;a)
数据存储实现方法的变更;
备份机制和流程的变更;
与外部服务商网络连接的变更;安全控制措施的变更;
已部署的商业软硬件产品的变更;云计算服务分包商的变更,例如PaaS、SaaS服务商更换IaaS服务商;云计算服务运行主体的变更;
云计算平台软件版本的变更;
云计算平台基础设施的变更;
系统IT架构的变更
GB/T37972—2019
2变更管理监管环节
重大变更的监管环节如下:
a)运行监管方制定变更管理监管策略与计划,明确监管目的与要求、方法与手段、交付件等;b)云服务商在实施重大变更之前,应对变更项进行安全影响分析,必要时应对变更项进行测试、验证,并根据与运行监管方约定的格式、内容、时间,提交有关重大变更安全性的相关交付件:c)运行监管方根据云服务商提交的交付件,对云计算平台的变更项进行分析、审核,必要时,应对变更项的安全性进行评估、验证,并将结果告知云计算服务相关方。7应急响应监管
应急响应内容
应急响应涉及的主要内容包括但不限于(见GB/T31167—2014中8.4.3安全事件监管):a)非授权访问事件,如对云计算平台下的业务系统、数据或其他计算资源进行非授权逻辑或物理访问等;
发生安全攻击事件,如拒绝服务攻击;b)
恶意代码感染·如云计算平台被病毒、螨虫、特洛伊木马等恶意代码感染;云计算平台岩机;
重大安全威胁发现;
重大安全信息泄露。
2应急响应监管环节
应急响应的监管环节如下:
a)运行监管方制定应急响应监管策略与计划,明确监管目的与要求、监管方法与手段,细化应急响应的监管内容、交付件类型、格式等;云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性b)
有威胁的安全事件时,开展并记录应急响应活动,形成应急响应交付件并及时提交给运行监管方;
c)运行监管方根据云服务商提交的交付件,对安全事件及应急响应活动进行分析、评估,必要时,应对应急响应活动的充分性进行评估、验证,并将结果告知云计算服务相关方。8云计算服务运行监管的实现方式8.1概述
运行监管方应通过有效、准确、及时的方式获取有关云计算平台安全的信息及交付件,以便对云计算服务安全能力开展分析、评估、审核、验证等监管活动。获取运行监管信息和交付件的实现方式包括:手工机制和自动机制。
人工机制
云服务商根据与运行监管方约定的内容及频率,以确定的非在线方式,向运行监管方提交支撑运行监管活动的相关交付件,交付件列表可参考附录B。4
8.3自动机制
主要内容
自动机制监管的主要内容包括但不限于:a)
限制对各类介质的访问,并对介质访问情况进行审计;对配置项的参数进行集中管理、应用和验证;检测云计算服务平台中新增的非授权软件、硬件或固件组件:维护信息系统组件清单;
支持事件处理过程;
支持事件报告过程;
提高事件响应支持资源的可用性;对审查、分析和报告过程进行整合,以支持对可疑活动的调查和响应;比较不同时间的脆弱性扫描结果,以判断信息系统漏洞趋势;更新恶意代码防护机制;
管理账号;
监视和控制远程访问会话,以检测网络攻击,确保远程访问策略得以实现;对缺陷修复后的组件进行检测;对攻击事件进行准实时分析;
温湿度控制。
实现自动机制时应考虑:
遵守国家相关法律、行政命令、指令、政策、条例、标准和指导方针;使用开放性规范、标准、技术及协议;从各种信息源中提取信息;
提供与其他工具的可交互性;
GB/T37972—2019
能够对安全控制、变更管理及应急响应过程中的信息进行整合并格式化输出。5
GB/T37972—2019
A.1安全控制措施报告表
附录A
(资料性附录)
运行监管交付件模版
云服务商应逐项对照附录A的各项要求的实现情况在表A.1中进行说明。表A.1安全控制措施报告表
安全控制措施报告表
云服务商
云服务商名称
安全能力
安全类
安全属性
内容描述:
—般要求
增强要求
云计算服务名称
安全项
章节号
(对内容中给出的赋值和选择项,需在表格中明确列出赋值和选择的具体参数)安全措施
口通用
措施名称
安全控制措施说明:
作用范围
(对采用的安全控制措施的功能、效果及可用性等特性进行说明)拟提供的证据(可另附页)
(能证明安全控制措施有效性的说明)重大变更报告表
口专用
口混用
对于计划中的重大变更,云服务商应在计划实施之前,以与运行监管方约定的时间内,在表A.2中进行说明。
云服务商
云服务商名称
云服务客户
服务模式
部署模式
变更计划开始日期
联系人姓名
联系人电子邮件
变更类型
表A.2重大变更报告表
重大变更报告表
云计算服务名称
安全能力要求
口软件即服务(SaaS)
口平台即服务(PaaS)
口基础设施即服务(laas)
口其他(请注明)
口公有云
口私有云
口社区云
口混合云
口其他(请注明)
变更计划完成日期
联系人职务
联系人电话
云服务商变动(云服务商名称、注册地、企业性质、管理层)
物理环境变化(机房位置)
网络环境变化(网络架构、与外部信息系统的连接、与外部服务商的连接)
口云平台关键软件组成变更(版本、代码、组件、供应商)口云平台关键硬件组成变更(硬件组成、IP地址、供应商)
供应链关键服务商变更
变更原因说明:
变更情况说明
变更影响分析(可另附页):
重大安全事件报告表
GB/T37972—2019
口增强
云计算服务分包商的变更,例如PaaS、SaaS服务商更换laaS服务商
口鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更
口数据存储的实现方法变更
口备份机制和流程变更
口安全措施的撤除
口其他
云服务商应在发现重大安全事件的第一时间,启动应急响应程序并告知运行监管方,事件响应完成后,依据时间响应处理过程的情况,在表A,3中进行说明。7
GB/T37972—2019
云服务商名称
报告时间
发现事件的情况
重大安全事件的详细描
述(如以前出现过此类情
况,也应加以说明)
安全事件的类型
安全事件的级别
受影响的资产(提供受事
件影响或与事件影响有
关的资产的描述)
涉及信息系统名称及主
要用途
事件对业务的负面影响
攻击者的描述(实际的或
觉察的动机)
计划采取的解决事件
符合现有事件处理计划
是否修订了事件处理
是否修订了应急响应
表A.3重大安全事件报告表
重大安全事件报告表
■发生了什么事件
■发生事件的时间
■发现人
■发现人所属部门
■事件发生过程和原因等情况
■受影响的用户、业务及其损失■已确定的风险
■是否向云服务客户、国家和地方应急响应组织及有关信息安全主管部门等报告■其他
有害程序事件
口信息内容安全事件
口其他信息安全事件
特别重大安全事件
一般安全事件
网络攻击事件
口设备设施故障
重大安全事件
口信息破坏事件
口灾害性事件
口较大安全事件
例如:信息/数据、硬件、软件、网络设备、通信设施、文档等国违背保密性(即泄露)
口违背完整性(即篡改)
违背可用性(即不可用性)
违背抗抵赖性
遭受破坏
口犯罪/经济效益
口符合bzxz.net
不符合
口其他
原因:
原因:
原因:
口消遣/黑客攻击
口政治/恐怖主义
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。