GB/T 37972-2019 信息安全技术 云计算服务运行监管框架
- 发表时间:2023-03-23
- 来源:共立消防
- 人气:
1 范围
本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建议。
本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使用云计算服务时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
3 术语和定义
GB/T 31167-2014界定的以及下列术语和定义适用于本文件。
3.1
运行监管方 operation supervision organization
独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构。
4 云计算服务运行监管目的及框架
4.1 运行监管目的
开展云计算服务运行监管的目的是保障:
a)云计算服务持续满足国家相关法律法规、行政命令、政策和标准;
b)云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态;
c)云计算服务的安全风险可控;
d)云计算服务的安全能力持续满足要求。
从而确保GB/T 31167-2014中8.1提出的运行监管主要目标。
4.2 运行监管框架
云计算服务运行监管框架是基于国家标准GB/T 31167-2014和GB/T 31168-2014中的运行监管要求而提出的。云计算服务运行监管框架如图1所示。
图1 运行监管框架
云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施,并为运行监管方提供已实施相关管理和技术措施的支撑材料,形成交付件(对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存),附录A给出了运行监管交付件参考模版,附录B给出了安全控制措施运行监管列表。
运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动,形成监管结果告知云计算服务相关方,必要时应根据监管结果给出合理的意见和建议。
4.3 运行监管的角色及责任
4.3.1 运行监管角色
运行监管框架包含两个主要角色:
a)云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。
b)运行监管方。云服务客户的管理部门(例如:政府信息安全管理部门、云服务客户的主管部门等)指定或委托的运行监管方。
4.3.2 云服务商的责任
云服务商应确保:
a)云计算平台中的安全控制措施持续有效;
b)云计算平台中的重大变更风险可控;
c)云计算平台中的应急响应及时充分;
d)向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件,并确保交付件真实可靠;
e)根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。
从而履行GB/T 31167-2014中8.2.3规定的云服务商在运行监管中的责任。
4.3.3 运行监管方的责任
运行监管方应:
a)对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管;
b)与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等;
c)确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方;
d)对云服务商提交的交付件进行分析及审核;
e)根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式对交付件中的内容进行验证;
f)根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议。从而帮助云服务客户履行GB/T 31167-2014中8.2.2规定的客户在运行监管活动中的责任。
5 安全控制措施监管
5.1 安全控制措施内容
安全控制措施涉及的主要内容包括但不限于:
a)系统开发与供应链安全;
b)系统与通信保护;
c)访问控制;
d) 配置管理;
e) 维护;
f) 应急响应与灾备;
g)审计;
h) 风险评估与持续监控;
i) 安全组织与人员;
j) 物理与环境安全。
5.2 安全控制措施监管环节
安全控制措施的监管环节包括:
a)运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段,细化安全控制措施的监管内容、交付件类型、格式及频率等;
b)云服务商根据运行监管方制定的安全控制措施监管策略与计划,对云计算平台的安全状态实施持续监控,提交有关安全控制措施有效性的相关交付件;
c)运行监管方根据云服务商提交的交付件,对云计算平台的安全控制措施进行分析、审核,必要时,应对安全控制措施的有效性进行评估,并将结果告知云计算服务相关方。
6 变更管理监管
6.1 变更管理内容
变更管理涉及的主要内容包括但不限于(见GB/T 31167-2014中8.4.2重大变更监管):
a)鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更;
b)数据存储实现方法的变更;
c)备份机制和流程的变更;
d)与外部服务商网络连接的变更;
e)安全控制措施的变更;
f)已部署的商业软硬件产品的变更;
g)云计算服务分包商的变更,例如 PaaS 、SaaS服务商更换IaaS服务商;
h)云计算服务运行主体的变更;
i) 云计算平台软件版本的变更;
j)云计算平台基础设施的变更;
k)系统IT架构的变更。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
- IG541混合气体灭火系统
IG541混合气体灭火系统:IG-541灭火系统采用的IG-541混合气体灭火剂是由大气层中的氮气(N2)、氩气(Ar)和二氧化碳(CO2)三种气体分别以52%、40%、8%的比例混合而成的一种灭火剂
- 二氧化碳气体灭火系统
二氧化碳气体灭火系统:二氧化碳气体灭火系统由瓶架、灭火剂瓶组、泄漏检测装置、容器阀、金属软管、单向阀(灭火剂管)、集流管、安全泄漏装置、选择阀、信号反馈装置、灭火剂输送管、喷嘴、驱动气体瓶组、电磁驱动
- 七氟丙烷灭火系统
七氟丙烷(HFC—227ea)灭火系统是一种高效能的灭火设备,其灭火剂HFC—ea是一种无色、无味、低毒性、绝缘性好、无二次污染的气体,对大气臭氧层的耗损潜能值(ODP)为零,是卤代烷1211、130
- 手提式干粉灭火器
手提式干粉灭火器适灭火时,可手提或肩扛灭火器快速奔赴火场,在距燃烧处5米左右,放下灭火器。如在室外,应选择在上风方向喷射。使用的干粉灭火器若是外挂式储压式的,操作者应一手紧握喷枪、另一手提起储气瓶上的