1 范围

      本标准确定了云计算服务运行监管框架，规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动，给出运行监管实现方式的建议。

      本标准适用于对政府部门使用的云计算服务进行运行监管，也可供重点行业和其他企事业单位使用云计算服务时参考。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

3 术语和定义

      GB/T 31167-2014界定的以及下列术语和定义适用于本文件。

3.1

      运行监管方 operation supervision organization

      独立于云计算服务相关方，且具有专业技术能力，开展运行监管的机构。

4 云计算服务运行监管目的及框架

4.1 运行监管目的

      开展云计算服务运行监管的目的是保障：

      a）云计算服务持续满足国家相关法律法规、行政命令、政策和标准；

      b）云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态；

      c）云计算服务的安全风险可控；

      d）云计算服务的安全能力持续满足要求。

      从而确保GB/T 31167-2014中8.1提出的运行监管主要目标。

4.2 运行监管框架

      云计算服务运行监管框架是基于国家标准GB/T 31167-2014和GB/T 31168-2014中的运行监管要求而提出的。云计算服务运行监管框架如图1所示。

图1 运行监管框架

      云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施，并为运行监管方提供已实施相关管理和技术措施的支撑材料，形成交付件（对监管活动起到佐证作用的任何实体，包括但不限于各种文档、图片、录音、录像、实物、数据等，并以纸质、电子等形式有效保存），附录A给出了运行监管交付件参考模版，附录B给出了安全控制措施运行监管列表。

      运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动，形成监管结果告知云计算服务相关方，必要时应根据监管结果给出合理的意见和建议。

4.3 运行监管的角色及责任

4.3.1 运行监管角色

      运行监管框架包含两个主要角色：

      a）云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。

      b）运行监管方。云服务客户的管理部门（例如：政府信息安全管理部门、云服务客户的主管部门等）指定或委托的运行监管方。

4.3.2 云服务商的责任

      云服务商应确保：

      a）云计算平台中的安全控制措施持续有效；

      b）云计算平台中的重大变更风险可控；

      c）云计算平台中的应急响应及时充分；

      d）向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件，并确保交付件真实可靠；

      e）根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。

      从而履行GB/T 31167-2014中8.2.3规定的云服务商在运行监管中的责任。

4.3.3 运行监管方的责任

      运行监管方应：

      a）对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管；

      b）与云服务商协商运行监管接口，即交付件的内容、形式、频率和人工或自动机制等；

      c）确保云服务商提交的交付件安全，不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方；

      d）对云服务商提交的交付件进行分析及审核；

      e）根据分析、审核结果对云计算服务的安全能力进行评估，必要时应以抽查、核查及测试等方式对交付件中的内容进行验证；

      f）根据评估验证结论，形成评估报告并告知云计算服务相关方，必要时应给出整改意见和建议。从而帮助云服务客户履行GB/T 31167-2014中8.2.2规定的客户在运行监管活动中的责任。

5 安全控制措施监管

5.1 安全控制措施内容

      安全控制措施涉及的主要内容包括但不限于：

      a）系统开发与供应链安全；

      b）系统与通信保护；

      c）访问控制；

      d) 配置管理；

      e) 维护；

      f) 应急响应与灾备；

      g）审计；

      h) 风险评估与持续监控；

      i) 安全组织与人员；

      j) 物理与环境安全。

5.2 安全控制措施监管环节

      安全控制措施的监管环节包括：

      a）运行监管方制定安全控制监管策略与计划，明确监管目的与要求、监管方法与手段，细化安全控制措施的监管内容、交付件类型、格式及频率等；

      b）云服务商根据运行监管方制定的安全控制措施监管策略与计划，对云计算平台的安全状态实施持续监控，提交有关安全控制措施有效性的相关交付件；

      c）运行监管方根据云服务商提交的交付件，对云计算平台的安全控制措施进行分析、审核，必要时，应对安全控制措施的有效性进行评估，并将结果告知云计算服务相关方。

6 变更管理监管

6.1 变更管理内容

      变更管理涉及的主要内容包括但不限于（见GB/T 31167-2014中8.4.2重大变更监管）：

      a）鉴别（包括身份鉴别和数据源鉴别）和访问控制措施的变更；

      b）数据存储实现方法的变更；

      c）备份机制和流程的变更；

      d）与外部服务商网络连接的变更；

      e）安全控制措施的变更；

      f）已部署的商业软硬件产品的变更；

      g）云计算服务分包商的变更，例如 PaaS 、SaaS服务商更换IaaS服务商；

      h）云计算服务运行主体的变更；

      i) 云计算平台软件版本的变更；

      j）云计算平台基础设施的变更；

      k）系统IT架构的变更。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37972-2019 信息安全技术 云计算服务运行监管框架》