《信息安全技術(shù)云計算服務(wù)安全能力要求》（GB/T31168-2014）【全文附PDF版下載】

《信息安全技術(shù)云計算服務(wù)安全能力要求》（GB/T31168-2014）【全文附PDF版下載】

 本標(biāo)準(zhǔn)描述了以社會化方式為特定客戶提供云計算服務(wù)時，云服務(wù)商應(yīng)具備的信息安全技術(shù)能力。適用于對政府部門使用的云計算服務(wù)進(jìn)行安全管理，也可供重點行業(yè)和其他企事業(yè)單位使用云計算服務(wù)時參考，還適用于指導(dǎo)云服務(wù)商建設(shè)安全的云計算平臺和提供安全的云計算服務(wù)。標(biāo)準(zhǔn)分為一般要求和增強要求。根據(jù)擬遷移到社會化云計算平臺上的政府和行業(yè)信息、業(yè)務(wù)的敏感度及安全需求的不同，云服務(wù)商應(yīng)具備的安全能力也各不相同。

《能力要求》提出的安全要求分為10類，分別是：

——系統(tǒng)開發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分保護，對為其開發(fā)信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計算平臺配置足夠的資源，并充分考慮信息安全需求。云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供與安全措施有關(guān)的文檔和信息，配合客戶完成對信息系統(tǒng)和業(yè)務(wù)的管理。

——系統(tǒng)與通信保護：云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性。

——訪問控制：云服務(wù)商應(yīng)嚴(yán)格保護云計算平臺的客戶數(shù)據(jù)和用戶隱私，在授權(quán)信息系統(tǒng)用戶及其進(jìn)程、設(shè)備（包括其他信息系統(tǒng)的設(shè)備）訪問云計算平臺之前，應(yīng)對其進(jìn)行身份標(biāo)識及鑒別，并限制授權(quán)用戶可執(zhí)行的操作和使用的功能。

——配置管理：云服務(wù)商應(yīng)對云計算平臺進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。

——維護：云服務(wù)商應(yīng)定期維護云計算平臺設(shè)施和軟件系統(tǒng)，并對維護所使用的工具、技術(shù)、機制以及維護人員進(jìn)行有效的控制，且做好相關(guān)記錄。

——應(yīng)急響應(yīng)與災(zāi)備：云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計劃，包括對事件的預(yù)防、檢測、分析、控制、恢復(fù)等，對事件進(jìn)行跟蹤、記錄并向相關(guān)人員報告。服務(wù)商應(yīng)具備災(zāi)難恢復(fù)能力，建立必要的備份設(shè)施，確保客戶業(yè)務(wù)可持續(xù)。

——審計：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進(jìn)行定期分析和審查，還應(yīng)防范對審計記錄的未授權(quán)訪問、篡改和刪除行為。

——風(fēng)險評估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進(jìn)行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在異常和非授權(quán)情況發(fā)生時發(fā)出警報。

——安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上崗時具備履行其信息安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程序，對于違反信息安全規(guī)定的人員進(jìn)行處罰。

——物理與環(huán)境保護：云服務(wù)商應(yīng)確保機房位于中國境內(nèi)，機房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機房進(jìn)行監(jiān)控，嚴(yán)格限制各類人員與運行中的云計算平臺設(shè)備進(jìn)行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。
 

全文下載：《信 息安全技 術(shù)云計 算服務(wù)安 全能力要求》（GB/T31168-2014）【提取碼: wajf】

掃描二維碼 關(guān)注我們

本文鏈接：http://www.per-better.com/bz/65690.html

本文關(guān)鍵詞： 信息, 技術(shù), 云計算, 服務(wù), 安全, 能力, 要求, GB, 2014, 全文, PDF版, 下載