今天要介绍的是:GB/T 31168 《云计算服务安全能力要求》标准修订项目的进展情况。
该标准是为了党政机关和关键信息基础设施运营者提供云计算服务时,云服务商应具备的信息安全技术能力。主要适用于党政机关和关键信息基础设施运营者使用的云计算服务进行安全管理,同时适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
【医药医械专场】ISO 19600《合规管理体系 指南》在线培训
【医药医械专场】ISO 19600《合规管理体系 指南》在线培训
扫描下方二维码报名在线培训:
一、标准修订进展
由于本标准是首批云计算标准,随着云计算标准体系的不断完善,需要对该标准进行修改,使其与相关标准保持一致,适应云计算技术和产业快速发展的需要。
该修订项目的参与单位包括该标准的制定部门、行业内的单位以及第三方的单位,组成了具有代表性的工作组。工作组总结了自2014年标准发布以来,相关单位在实施以及评估该标准的过程中的经验,并吸收当前云计算服务先进技术经验,对该标准进行了修改,以便于适用云计算技术和产业快速发展的需要,来支撑云计算服务安全管理工作的需要。修订结合了云审查对标准的应用实践,在不做颠覆性改动的情况下,修改具体的条款,对原标准中明确有歧义的条款增加了举例,减少赋值和选择操作,增强标准的实践性。
在修订的过程中,作出较大的改动是在安全分级中增加了高级保护要求,将两级保护要求变成三级,主要针对不同业务、不同信息在进入云计算平台的时候需要满足的保护需求。
二、主要修订内容
1、有关标准框架结构的调整
在标准框架结构中,增加了“缩略语”、“数据保护”的安全类、增加针对不同云能力类型下不适用项的识别原则的附录。删除了第4.7节的标准结构,删除原各章中的策略与规程,删除原第16章的高级保护要求,将每类安全要求分为一般要求、增强要求与高级要求。
2、有关适用范围和术语定义
在适用范围和相关术语的修订,调整了适用范围,使标准与GB/T 31167《云计算服务安全指南》保持一致、增加了两个规范性引用文件:GB 50174-2017(数据中心设计规范)、GB/T 32400-2015(信息技术云计算概览与词汇)同时对例如云计算、云计算服务等术语的定义,通过引用GB/T 32400,进行更新。
3、有关安全要求的分级
根据对原标准文本的梳理,针对《云计算服务安全》指南的修订提出的关键业务的安全需求,在一般要求、增强要求基础上,增加“高级要求”。将原增强要求中要求偏高的内容调整到高级保护要求,如采用自动机制。通过借鉴行业标准、技术要求等,评估是否属于高级要求。
4、有关不同能力类型下的适用项
在现有条款主要针对基础设施能力类型(如IAAS模式)的基础上,补充了PAAS/SAAS等模式的安全技术要求,同时增加了API访问安全以及WEB访问安全。在附录B中给出不同能力类型下的专有使用项目或不适用项目,为了实施安全评估和云服务商填写安全计划提供原则性指导。
5、满足安全评估工作的要求
为了满足安全评估工作的要求,针对《云计算服务安全评估办法》中提出的重点评估内容,对云平台技术、产品、服务供应的安全情况,云服务商人员的背景、未定型、安全管理能力以及云平台安全防护的情况增强了安全能力的要求,同时需要区分业务需求和安全需求。同时,修订支持客户迁移数据的可信性和便捷性,对应“应急响应”的章节,要求支撑客户的业务连续性计划,强调安全事件后对业务连续性的保障。
三、项目后续
项目后续,将会向网络安全主管部门和云安全管理机构汇报修订项目进展,从技术标准的角度为云服务安全评估提供支撑。工作组将会持续与云服务商、第三方机构保持沟通,从标准应用的角度出发,进一步修改完善标准内容,包括与GB/T 31167《云计算指南标准》、GB/T 22239《网络安全等级保护基本要求》等标准之间的衔接;梳理增强保护要求与高级保护要求之间的关系并且在前期意见征询的基础上,组织研讨会。
陈立彤律师及团队成员参加了本次会议周。后续的系列推文,我们将继续对会议讨论的每一个项目进行内容分享,敬请关注。
全国信息安全标准化委员会 2019年第二次工作组“会议周”侧记
等保2.0到底是怎么肥4?
等保2.0是怎么肥4?(003)| 数据安全与个人信息安全
等保2.0是怎么肥4(004)| 安全管理要求
「跨国公司高薪招聘合规官 」中国合规网发布
END
另,陈立彤律师正在写英文版的Bribery Risk Management in China,为了丰富本书的材料,「中国合规网」发起了下列调查,麻烦您花1分钟的时间参与一下,帮助我们帮助您,多谢!
长按二维码关注我们
继续阅读
阅读原文