國家標準《信息安全技術 政府網站云計算服務安全指南》征求意見稿
責編:mhshi |2017-09-01 10:34:13各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 政府網站云計算服務安全指南》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文本:信息安全技術政府網站云計算服務安全指南
編制說明:
國家標準《信息安全技術 政府網站云計算服務安全指南》編制說明
一、任務來源
《信息安全技術 政府網站云計算服務安全指南》是由西安未來國際信息股份有限公司于2016年5月申請立項的國家標準項目,2016年7月中央網信辦網絡安全協調局正式下達任務書“信息安全技術 政府網站云計算服務安全指南”。
“信息安全技術 政府網站云計算服務安全指南”由西安未來國際信息股份有限公司、阿里云計算有限公司、中國電子技術標準化研究院、北京時代遠景信息技術研究院主要負責起草,北京信息安全測評中心、華為技術有限公司、杭州安恒信息技術有限公司、北京安信天行科技有限公司、北京京東尚科信息技術有限公司、國家信息技術安全研究中心、深信服科技股份有限公司、中國電信集團公司、烽火科技集團有限公司、杭州迪普科技股份有限公司、廣州賽寶認證中心服務有限公司、首都之窗、西北大學等單位共同參與了該標準的起草工作,歸口單位為全國信息安全標準化技術委員會(簡稱信息安全標委會,TC260)。
二、主要工作過程
1、2016年3月至5月,進行《政府網站云計算服務安全指南》標準調研論證,完成標準草案初稿;
2、2016年6月16日,全國信息安全標準化技術委員會2016年第一次工作組會議周,對標準的立項必要性、標準主要內容等進行討論;
3、2016年7月14日,正式成立標準編制組,召開第一次工作組會議,討論標準框架,編寫思路,編制分工等事宜,征求專家意見;
4、2016年8月29日,召開第二次工作組會議,重點討論標準草案第一版角色定義、角色劃分、各階段技術要求;
5、2016年10月18日,西安未來國際信息股份有限公司代表編制組在全國信息安全標準化技術委員會2016年第二次工作組會議周進行工作匯報,工作組成員單位對標準工作提出了建議和意見;
6、2016年11月23日,召開第三次工作組會議,討論標準草案第二版要求,重點討論角色劃分與職責定義;
7、2017年3月3日,召開第四次工作組會議,討論標準草案第三版要求,重點討論每個階段的技術要求;
8、2017年4月11日,全國信息安全標準化技術委員會2017年第一次工作組會議周,會上各位專家對最新的標準草案內容發表了意見,并提出了寶貴的修改意見及建議;
9、2017年4月28日,召開第五次工作組會議,討論標準草案第四版,對標準全文進行了梳理;
10、2017年6月14日,召開第六次工作組會議,討論標準草案第五版,對運行管理階段和反饋意見進行了討論,對標準題目的修改達成了一致意見,對標準的內容細節提出了修改建議。
11、2017年6月26日,西安未來國際信息股份有限公司邀請相關專家在中國電子技術標準化研究院會議室對標準進行了評審和研討,各位專家對草案內容提出了各自的見解,并提出了合理的意見和建議。
12、2017年6月28日,西安未來國際信息股份有限公司代表編制組在大數據工作組會議上進行匯報,工作組同意形成征求意見稿。
13、2017年7月,根據修改意見進行了標準草案的修改完善,進行了提交。
三、編制原則和主要內容
- 編制原則
《信息安全技術 政府網站云計算服務安全指南》是指導政府和規范政府網站采用云計算服務的工作流程,以及規定的安全技術和管理措施。在政府部門采用云計算服務的應用前景下,針對政府網站采用云計算服務所面臨的安全風險,明確安全目標,制定了政府部門采用云計算服務所涉及的角色、角色職責、技術要求,以指導和規范政府部門采用云計算服務。
本標準遵從國家標準GB/T?31167-2014《信息安全國家標準—云計算服務安全指南》、GB/T?31168-2014《信息安全國家標準—云計算服務安全能力要求》、GB/T?31506-2015《信息安全技術 ?政府網站系統安全技術指南》等標準規范,按照云計算服務生命周期劃分政府網站采用云計算服務的四個階段,明確了各階段的技術要求,并對采用云計算服務過程中涉及的四個角色(包含云服務客戶、云服務商、云客戶供應鏈服務商、第三方服務商)在四個階段的職責進行了劃分。
- 主要內容
本標準主要內容分為5個章節,分別針對政府網站采用云計算服務面臨的風險、采用云計算服務的四個階段過程進行了詳細的說明。
本標準規定了政府網站采用云計算服務過程中涉及到的云服務商、云服務客戶、云客戶供應鏈服務商、第三方評估機構四個角色及安全責任,并明確了政府網站在采用云計算服務時,在規劃準備、部署遷移、安全運行管理、退出服務等階段應采取的安全技術和管理措施,為政府網站采用云計算服務提供指導。本標準適用于建成的政府網站采用云計算服務,對于新建政府網站采用云計算服務可參照使用。
四、主要試驗(或驗證)的分析、綜述報告,技術經濟論證,預期的經濟效果
當前,國家推進政府網站采用云計算服務,這種方式有利于政務信息系統的整體部署和共建共用,便于信息資源的匯聚共享,降低信息化建設成本,有利于推動政府網站云計算服務集約化發展。為加強政府網站云計算服務網絡安全管理,需要對政府網站云計算服務過程中的安全要求及責任進行明確規定,便于各角色履行各自的職責,保障政府網站云計算服務使用健康、有序的發展。
2014年,我國發布了云計算的兩個基礎標準:GB/T?31167-2014《信息安全國家標準—云計算服務安全指南》和GB/T?31168-2014《信息安全國家標準—云計算服務安全能力要求》。這兩個標準的制定和發布,有力地推動了云計算技術在我國的推廣和應用,為政府部門和重點行業采用云計算服務提供安全指導并進行安全管理。
本標準對上述兩個標準進行了補充,規范了政府部門采用云計算服務涉及的相關角色,并對每個角色在每個階段的安全責任和安全要求進行了定義,為政府網上云和上云后的安全運行等問題進行了指導和規范。
本標準的制定有利于政府網站逐步遷移上云,停止服務器、存儲等相關軟硬件的采購;有利于對政府網站的統一監管、統一安全保障;有利于推廣政府部門網站采用云計算服務和應用。
五、采用國際標準和國外先進標準的程度
本標準為自主制定。
六、與有關的現行法律、法規和強制性國家標準的關系
本標準符合現有法律法規的要求,能配合國家相關政策文件的實施,并且本標準中規定的內容遵從云計算國家標準GB/T?31167-2014《信息安全國家標準—云計算服務安全指南》、GB/T?31168-2014《信息安全國家標準—云計算服務安全能力要求》等一系列標準的定義,又繼成GB/T?31506-201《信息安全技術—政府門戶網站系統安全技術指南》、《信息安全技術?信息系統安全等級保護?云計算安全要求》的相關技術要求。
本標準可以作為云計算相關標準在政府部門具體采用云計算應用上的補充,完善云計算標準體系建設。
七、重大分歧意見的處理經過和依據
項目組在標準編制過程中,經歷了內部討論與論證、專家評審等過程,項目組在工作過程中遵循GB/T1.1—2009編制原則,對國內外現狀做了大量調研,完成了標準草案的編寫工作。在整個過程中未遇到重大意見分歧,但對專家提出的意見和建議,我們做了應答和處理,更好地完善了我們的標準編制工作,處理經過詳見意見匯總處理表。
八、國家標準作為強制性國家標準或推薦性國家標準的建議
建議本標準作為推薦性國家標準發布實施。
九、貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)
本標準作為政府網站采用云計算服務的安全指南,能配套國家標準GB/T?31167-2014《信息安全技術—云計算服務安全指南》、GB/T?31168-2014《信息安全技術—云計算服務安全能力要求》的實施,為政府部門采用云計算服務提供指導。
本項目制定的標準將為政府部門網站采用云計算服務提供全生命周期的安全技術要求指導,提供責任劃分指導,適用于政府部門采購和使用云計算服務保障政府網站安全,也可供重點行業和其他企事業單位保證網站安全選擇云計算服務提供參考。
十、其他事項說明
本標準不涉及專利。
《信息安全技術 政府網站云計算服務安全指南》標準編制組
2017年8月