您好!欢迎光临共立消防科技(广东)有限公司,我们竭诚为您提供优质服务!

专注消防维保检测

打造消防服务行业卓越品牌

消防检测维保服务热线:

15322445327
当前位置: 主页 > 消防资讯 > 安全标准

GB/T 37972-2019 信息安全技术 云计算服务运行监管框架

  • 发表时间:2023-03-23
  • 来源:共立消防
  • 人气:

1 范围

      本标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建议。

      本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使用云计算服务时参考。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

3 术语和定义

      GB/T 31167-2014界定的以及下列术语和定义适用于本文件。

3.1

      运行监管方 operation supervision organization

      独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构。

4 云计算服务运行监管目的及框架

4.1 运行监管目的

      开展云计算服务运行监管的目的是保障:

      a)云计算服务持续满足国家相关法律法规、行政命令、政策和标准;

      b)云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态;

      c)云计算服务的安全风险可控;

      d)云计算服务的安全能力持续满足要求。

      从而确保GB/T 31167-2014中8.1提出的运行监管主要目标。

4.2 运行监管框架

      云计算服务运行监管框架是基于国家标准GB/T 31167-2014和GB/T 31168-2014中的运行监管要求而提出的。云计算服务运行监管框架如图1所示。


图1.jpg

图1 运行监管框架

      云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施,并为运行监管方提供已实施相关管理和技术措施的支撑材料,形成交付件(对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存),附录A给出了运行监管交付件参考模版,附录B给出了安全控制措施运行监管列表。

      运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动,形成监管结果告知云计算服务相关方,必要时应根据监管结果给出合理的意见和建议。

4.3 运行监管的角色及责任

4.3.1 运行监管角色

      运行监管框架包含两个主要角色:

      a)云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。

      b)运行监管方。云服务客户的管理部门(例如:政府信息安全管理部门、云服务客户的主管部门等)指定或委托的运行监管方。

4.3.2 云服务商的责任

      云服务商应确保:

      a)云计算平台中的安全控制措施持续有效;

      b)云计算平台中的重大变更风险可控;

      c)云计算平台中的应急响应及时充分;

      d)向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件,并确保交付件真实可靠;

      e)根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。

      从而履行GB/T 31167-2014中8.2.3规定的云服务商在运行监管中的责任。

4.3.3 运行监管方的责任

      运行监管方应:

      a)对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管;

      b)与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等;

      c)确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方;

      d)对云服务商提交的交付件进行分析及审核;

      e)根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式对交付件中的内容进行验证;

      f)根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议。从而帮助云服务客户履行GB/T 31167-2014中8.2.2规定的客户在运行监管活动中的责任。

5 安全控制措施监管

5.1 安全控制措施内容

      安全控制措施涉及的主要内容包括但不限于:

      a)系统开发与供应链安全;

      b)系统与通信保护;

      c)访问控制;

      d) 配置管理;

      e) 维护;

      f) 应急响应与灾备;

      g)审计;

      h) 风险评估与持续监控;

      i) 安全组织与人员;

      j) 物理与环境安全。

5.2 安全控制措施监管环节

      安全控制措施的监管环节包括:

      a)运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段,细化安全控制措施的监管内容、交付件类型、格式及频率等;

      b)云服务商根据运行监管方制定的安全控制措施监管策略与计划,对云计算平台的安全状态实施持续监控,提交有关安全控制措施有效性的相关交付件;

      c)运行监管方根据云服务商提交的交付件,对云计算平台的安全控制措施进行分析、审核,必要时,应对安全控制措施的有效性进行评估,并将结果告知云计算服务相关方。

6 变更管理监管

6.1 变更管理内容

      变更管理涉及的主要内容包括但不限于(见GB/T 31167-2014中8.4.2重大变更监管):

      a)鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更;

      b)数据存储实现方法的变更;

      c)备份机制和流程的变更;

      d)与外部服务商网络连接的变更;

      e)安全控制措施的变更;

      f)已部署的商业软硬件产品的变更;

      g)云计算服务分包商的变更,例如 PaaS 、SaaS服务商更换IaaS服务商;

      h)云计算服务运行主体的变更;

      i) 云计算平台软件版本的变更;

      j)云计算平台基础设施的变更;

      k)系统IT架构的变更。


以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。

推荐产品
  • IG541混合气体灭火系统 IG541混合气体灭火系统
    IG541混合气体灭火系统:IG-541灭火系统采用的IG-541混合气体灭火剂是由大气层中的氮气(N2)、氩气(Ar)和二氧化碳(CO2)三种气体分别以52%、40%、8%的比例混合而成的一种灭火剂
  • 二氧化碳气体灭火系统 二氧化碳气体灭火系统
    二氧化碳气体灭火系统:二氧化碳气体灭火系统由瓶架、灭火剂瓶组、泄漏检测装置、容器阀、金属软管、单向阀(灭火剂管)、集流管、安全泄漏装置、选择阀、信号反馈装置、灭火剂输送管、喷嘴、驱动气体瓶组、电磁驱动
  • 七氟丙烷灭火系统 七氟丙烷灭火系统
    七氟丙烷(HFC—227ea)灭火系统是一种高效能的灭火设备,其灭火剂HFC—ea是一种无色、无味、低毒性、绝缘性好、无二次污染的气体,对大气臭氧层的耗损潜能值(ODP)为零,是卤代烷1211、130
  • 手提式干粉灭火器 手提式干粉灭火器
    手提式干粉灭火器适灭火时,可手提或肩扛灭火器快速奔赴火场,在距燃烧处5米左右,放下灭火器。如在室外,应选择在上风方向喷射。使用的干粉灭火器若是外挂式储压式的,操作者应一手紧握喷枪、另一手提起储气瓶上的