國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》征求意見(jiàn)稿
責(zé)編:mhshi |2017-09-01 10:34:13各相關(guān)單位和專家:
經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力,現(xiàn)已形成國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》征求意見(jiàn)稿。為確保標(biāo)準(zhǔn)質(zhì)量,信安標(biāo)委秘書處面向社會(huì)廣泛征求意見(jiàn)。
懇切希望您對(duì)該標(biāo)準(zhǔn)提出寶貴意見(jiàn)。并將意見(jiàn)于2017年10月9日前反饋給信安標(biāo)委秘書處。
聯(lián)系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處
2017年8月25日
標(biāo)準(zhǔn)文本:信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南
編制說(shuō)明:
國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》編制說(shuō)明
一、任務(wù)來(lái)源
《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》是由西安未來(lái)國(guó)際信息股份有限公司于2016年5月申請(qǐng)立項(xiàng)的國(guó)家標(biāo)準(zhǔn)項(xiàng)目,2016年7月中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局正式下達(dá)任務(wù)書“信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南”。
“信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南”由西安未來(lái)國(guó)際信息股份有限公司、阿里云計(jì)算有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、北京時(shí)代遠(yuǎn)景信息技術(shù)研究院主要負(fù)責(zé)起草,北京信息安全測(cè)評(píng)中心、華為技術(shù)有限公司、杭州安恒信息技術(shù)有限公司、北京安信天行科技有限公司、北京京東尚科信息技術(shù)有限公司、國(guó)家信息技術(shù)安全研究中心、深信服科技股份有限公司、中國(guó)電信集團(tuán)公司、烽火科技集團(tuán)有限公司、杭州迪普科技股份有限公司、廣州賽寶認(rèn)證中心服務(wù)有限公司、首都之窗、西北大學(xué)等單位共同參與了該標(biāo)準(zhǔn)的起草工作,歸口單位為全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡(jiǎn)稱信息安全標(biāo)委會(huì),TC260)。
二、主要工作過(guò)程
1、2016年3月至5月,進(jìn)行《政府網(wǎng)站云計(jì)算服務(wù)安全指南》標(biāo)準(zhǔn)調(diào)研論證,完成標(biāo)準(zhǔn)草案初稿;
2、2016年6月16日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第一次工作組會(huì)議周,對(duì)標(biāo)準(zhǔn)的立項(xiàng)必要性、標(biāo)準(zhǔn)主要內(nèi)容等進(jìn)行討論;
3、2016年7月14日,正式成立標(biāo)準(zhǔn)編制組,召開(kāi)第一次工作組會(huì)議,討論標(biāo)準(zhǔn)框架,編寫思路,編制分工等事宜,征求專家意見(jiàn);
4、2016年8月29日,召開(kāi)第二次工作組會(huì)議,重點(diǎn)討論標(biāo)準(zhǔn)草案第一版角色定義、角色劃分、各階段技術(shù)要求;
5、2016年10月18日,西安未來(lái)國(guó)際信息股份有限公司代表編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第二次工作組會(huì)議周進(jìn)行工作匯報(bào),工作組成員單位對(duì)標(biāo)準(zhǔn)工作提出了建議和意見(jiàn);
6、2016年11月23日,召開(kāi)第三次工作組會(huì)議,討論標(biāo)準(zhǔn)草案第二版要求,重點(diǎn)討論角色劃分與職責(zé)定義;
7、2017年3月3日,召開(kāi)第四次工作組會(huì)議,討論標(biāo)準(zhǔn)草案第三版要求,重點(diǎn)討論每個(gè)階段的技術(shù)要求;
8、2017年4月11日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第一次工作組會(huì)議周,會(huì)上各位專家對(duì)最新的標(biāo)準(zhǔn)草案內(nèi)容發(fā)表了意見(jiàn),并提出了寶貴的修改意見(jiàn)及建議;
9、2017年4月28日,召開(kāi)第五次工作組會(huì)議,討論標(biāo)準(zhǔn)草案第四版,對(duì)標(biāo)準(zhǔn)全文進(jìn)行了梳理;
10、2017年6月14日,召開(kāi)第六次工作組會(huì)議,討論標(biāo)準(zhǔn)草案第五版,對(duì)運(yùn)行管理階段和反饋意見(jiàn)進(jìn)行了討論,對(duì)標(biāo)準(zhǔn)題目的修改達(dá)成了一致意見(jiàn),對(duì)標(biāo)準(zhǔn)的內(nèi)容細(xì)節(jié)提出了修改建議。
11、2017年6月26日,西安未來(lái)國(guó)際信息股份有限公司邀請(qǐng)相關(guān)專家在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院會(huì)議室對(duì)標(biāo)準(zhǔn)進(jìn)行了評(píng)審和研討,各位專家對(duì)草案內(nèi)容提出了各自的見(jiàn)解,并提出了合理的意見(jiàn)和建議。
12、2017年6月28日,西安未來(lái)國(guó)際信息股份有限公司代表編制組在大數(shù)據(jù)工作組會(huì)議上進(jìn)行匯報(bào),工作組同意形成征求意見(jiàn)稿。
13、2017年7月,根據(jù)修改意見(jiàn)進(jìn)行了標(biāo)準(zhǔn)草案的修改完善,進(jìn)行了提交。
三、編制原則和主要內(nèi)容
- 編制原則
《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》是指導(dǎo)政府和規(guī)范政府網(wǎng)站采用云計(jì)算服務(wù)的工作流程,以及規(guī)定的安全技術(shù)和管理措施。在政府部門采用云計(jì)算服務(wù)的應(yīng)用前景下,針對(duì)政府網(wǎng)站采用云計(jì)算服務(wù)所面臨的安全風(fēng)險(xiǎn),明確安全目標(biāo),制定了政府部門采用云計(jì)算服務(wù)所涉及的角色、角色職責(zé)、技術(shù)要求,以指導(dǎo)和規(guī)范政府部門采用云計(jì)算服務(wù)。
本標(biāo)準(zhǔn)遵從國(guó)家標(biāo)準(zhǔn)GB/T?31167-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》、GB/T?31168-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》、GB/T?31506-2015《信息安全技術(shù) ?政府網(wǎng)站系統(tǒng)安全技術(shù)指南》等標(biāo)準(zhǔn)規(guī)范,按照云計(jì)算服務(wù)生命周期劃分政府網(wǎng)站采用云計(jì)算服務(wù)的四個(gè)階段,明確了各階段的技術(shù)要求,并對(duì)采用云計(jì)算服務(wù)過(guò)程中涉及的四個(gè)角色(包含云服務(wù)客戶、云服務(wù)商、云客戶供應(yīng)鏈服務(wù)商、第三方服務(wù)商)在四個(gè)階段的職責(zé)進(jìn)行了劃分。
- 主要內(nèi)容
本標(biāo)準(zhǔn)主要內(nèi)容分為5個(gè)章節(jié),分別針對(duì)政府網(wǎng)站采用云計(jì)算服務(wù)面臨的風(fēng)險(xiǎn)、采用云計(jì)算服務(wù)的四個(gè)階段過(guò)程進(jìn)行了詳細(xì)的說(shuō)明。
本標(biāo)準(zhǔn)規(guī)定了政府網(wǎng)站采用云計(jì)算服務(wù)過(guò)程中涉及到的云服務(wù)商、云服務(wù)客戶、云客戶供應(yīng)鏈服務(wù)商、第三方評(píng)估機(jī)構(gòu)四個(gè)角色及安全責(zé)任,并明確了政府網(wǎng)站在采用云計(jì)算服務(wù)時(shí),在規(guī)劃準(zhǔn)備、部署遷移、安全運(yùn)行管理、退出服務(wù)等階段應(yīng)采取的安全技術(shù)和管理措施,為政府網(wǎng)站采用云計(jì)算服務(wù)提供指導(dǎo)。本標(biāo)準(zhǔn)適用于建成的政府網(wǎng)站采用云計(jì)算服務(wù),對(duì)于新建政府網(wǎng)站采用云計(jì)算服務(wù)可參照使用。
四、主要試驗(yàn)(或驗(yàn)證)的分析、綜述報(bào)告,技術(shù)經(jīng)濟(jì)論證,預(yù)期的經(jīng)濟(jì)效果
當(dāng)前,國(guó)家推進(jìn)政府網(wǎng)站采用云計(jì)算服務(wù),這種方式有利于政務(wù)信息系統(tǒng)的整體部署和共建共用,便于信息資源的匯聚共享,降低信息化建設(shè)成本,有利于推動(dòng)政府網(wǎng)站云計(jì)算服務(wù)集約化發(fā)展。為加強(qiáng)政府網(wǎng)站云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理,需要對(duì)政府網(wǎng)站云計(jì)算服務(wù)過(guò)程中的安全要求及責(zé)任進(jìn)行明確規(guī)定,便于各角色履行各自的職責(zé),保障政府網(wǎng)站云計(jì)算服務(wù)使用健康、有序的發(fā)展。
2014年,我國(guó)發(fā)布了云計(jì)算的兩個(gè)基礎(chǔ)標(biāo)準(zhǔn):GB/T?31167-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》和GB/T?31168-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》。這兩個(gè)標(biāo)準(zhǔn)的制定和發(fā)布,有力地推動(dòng)了云計(jì)算技術(shù)在我國(guó)的推廣和應(yīng)用,為政府部門和重點(diǎn)行業(yè)采用云計(jì)算服務(wù)提供安全指導(dǎo)并進(jìn)行安全管理。
本標(biāo)準(zhǔn)對(duì)上述兩個(gè)標(biāo)準(zhǔn)進(jìn)行了補(bǔ)充,規(guī)范了政府部門采用云計(jì)算服務(wù)涉及的相關(guān)角色,并對(duì)每個(gè)角色在每個(gè)階段的安全責(zé)任和安全要求進(jìn)行了定義,為政府網(wǎng)上云和上云后的安全運(yùn)行等問(wèn)題進(jìn)行了指導(dǎo)和規(guī)范。
本標(biāo)準(zhǔn)的制定有利于政府網(wǎng)站逐步遷移上云,停止服務(wù)器、存儲(chǔ)等相關(guān)軟硬件的采購(gòu);有利于對(duì)政府網(wǎng)站的統(tǒng)一監(jiān)管、統(tǒng)一安全保障;有利于推廣政府部門網(wǎng)站采用云計(jì)算服務(wù)和應(yīng)用。
五、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度
本標(biāo)準(zhǔn)為自主制定。
六、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系
本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求,能配合國(guó)家相關(guān)政策文件的實(shí)施,并且本標(biāo)準(zhǔn)中規(guī)定的內(nèi)容遵從云計(jì)算國(guó)家標(biāo)準(zhǔn)GB/T?31167-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》、GB/T?31168-2014《信息安全國(guó)家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》等一系列標(biāo)準(zhǔn)的定義,又繼成GB/T?31506-201《信息安全技術(shù)—政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南》、《信息安全技術(shù)?信息系統(tǒng)安全等級(jí)保護(hù)?云計(jì)算安全要求》的相關(guān)技術(shù)要求。
本標(biāo)準(zhǔn)可以作為云計(jì)算相關(guān)標(biāo)準(zhǔn)在政府部門具體采用云計(jì)算應(yīng)用上的補(bǔ)充,完善云計(jì)算標(biāo)準(zhǔn)體系建設(shè)。
七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)
項(xiàng)目組在標(biāo)準(zhǔn)編制過(guò)程中,經(jīng)歷了內(nèi)部討論與論證、專家評(píng)審等過(guò)程,項(xiàng)目組在工作過(guò)程中遵循GB/T1.1—2009編制原則,對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研,完成了標(biāo)準(zhǔn)草案的編寫工作。在整個(gè)過(guò)程中未遇到重大意見(jiàn)分歧,但對(duì)專家提出的意見(jiàn)和建議,我們做了應(yīng)答和處理,更好地完善了我們的標(biāo)準(zhǔn)編制工作,處理經(jīng)過(guò)詳見(jiàn)意見(jiàn)匯總處理表。
八、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議
建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。
九、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議(包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容)
本標(biāo)準(zhǔn)作為政府網(wǎng)站采用云計(jì)算服務(wù)的安全指南,能配套國(guó)家標(biāo)準(zhǔn)GB/T?31167-2014《信息安全技術(shù)—云計(jì)算服務(wù)安全指南》、GB/T?31168-2014《信息安全技術(shù)—云計(jì)算服務(wù)安全能力要求》的實(shí)施,為政府部門采用云計(jì)算服務(wù)提供指導(dǎo)。
本項(xiàng)目制定的標(biāo)準(zhǔn)將為政府部門網(wǎng)站采用云計(jì)算服務(wù)提供全生命周期的安全技術(shù)要求指導(dǎo),提供責(zé)任劃分指導(dǎo),適用于政府部門采購(gòu)和使用云計(jì)算服務(wù)保障政府網(wǎng)站安全,也可供重點(diǎn)行業(yè)和其他企事業(yè)單位保證網(wǎng)站安全選擇云計(jì)算服務(wù)提供參考。
十、其他事項(xiàng)說(shuō)明
本標(biāo)準(zhǔn)不涉及專利。
《信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南》標(biāo)準(zhǔn)編制組
2017年8月
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧