《信息安全技術(shù)云計算服務(wù)安全能力要求》（GB/T31168-2014）【全文附PDF版下載】

《信息安全技術(shù)云計算服務(wù)安全能力要求》（GB/T31168-2014）【全文附PDF版下載】

 本標準描述了以社會(huì )化方式為特定客戶(hù)提供云計算服務(wù)時(shí)，云服務(wù)商應具備的信息安全技術(shù)能力。適用于對政府部門(mén)使用的云計算服務(wù)進(jìn)行安全管理，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使用云計算服務(wù)時(shí)參考，還適用于指導云服務(wù)商建設安全的云計算平臺和提供安全的云計算服務(wù)。標準分為一般要求和增強要求。根據擬遷移到社會(huì )化云計算平臺上的政府和行業(yè)信息、業(yè)務(wù)的敏感度及安全需求的不同，云服務(wù)商應具備的安全能力也各不相同。

《能力要求》提出的安全要求分為10類(lèi)，分別是：

——系統開(kāi)發(fā)與供應鏈安全：云服務(wù)商應在開(kāi)發(fā)云計算平臺時(shí)對其提供充分保護，對為其開(kāi)發(fā)信息系統、組件和服務(wù)的開(kāi)發(fā)商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮信息安全需求。云服務(wù)商應確保其下級供應商采取了必要的安全措施。云服務(wù)商還應為客戶(hù)提供與安全措施有關(guān)的文檔和信息，配合客戶(hù)完成對信息系統和業(yè)務(wù)的管理。

——系統與通信保護：云服務(wù)商應在云計算平臺的外部邊界和內部關(guān)鍵邊界上監視、控制和保護網(wǎng)絡(luò )通信，并采用結構化設計、軟件開(kāi)發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性。

——訪(fǎng)問(wèn)控制：云服務(wù)商應嚴格保護云計算平臺的客戶(hù)數據和用戶(hù)隱私，在授權信息系統用戶(hù)及其進(jìn)程、設備（包括其他信息系統的設備）訪(fǎng)問(wèn)云計算平臺之前，應對其進(jìn)行身份標識及鑒別，并限制授權用戶(hù)可執行的操作和使用的功能。

——配置管理：云服務(wù)商應對云計算平臺進(jìn)行配置管理，在系統生命周期內建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線(xiàn)配置和詳細清單，并設置和實(shí)現云計算平臺中各類(lèi)產(chǎn)品的安全配置參數。

——維護：云服務(wù)商應定期維護云計算平臺設施和軟件系統，并對維護所使用的工具、技術(shù)、機制以及維護人員進(jìn)行有效的控制，且做好相關(guān)記錄。

——應急響應與災備：云服務(wù)商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應建立事件處理計劃，包括對事件的預防、檢測、分析、控制、恢復等，對事件進(jìn)行跟蹤、記錄并向相關(guān)人員報告。服務(wù)商應具備災難恢復能力，建立必要的備份設施，確?？蛻?hù)業(yè)務(wù)可持續。

——審計：云服務(wù)商應根據安全需求和客戶(hù)要求，制定可審計事件清單，明確審計記錄內容，實(shí)施審計并妥善保存審計記錄，對審計記錄進(jìn)行定期分析和審查，還應防范對審計記錄的未授權訪(fǎng)問(wèn)、篡改和刪除行為。

——風(fēng)險評估與持續監控：云服務(wù)商應定期或在威脅環(huán)境發(fā)生變化時(shí)，對云計算平臺進(jìn)行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。服務(wù)商應制定監控目標清單，對目標進(jìn)行持續安全監控，并在異常和非授權情況發(fā)生時(shí)發(fā)出警報。

——安全組織與人員：云服務(wù)商應確保能夠接觸客戶(hù)信息或業(yè)務(wù)的各類(lèi)人員（包括供應商人員）上崗時(shí)具備履行其信息安全責任的素質(zhì)和能力，還應在授予相關(guān)人員訪(fǎng)問(wèn)權限之前對其進(jìn)行審查并定期復查，在人員調動(dòng)或離職時(shí)履行安全程序，對于違反信息安全規定的人員進(jìn)行處罰。

——物理與環(huán)境保護：云服務(wù)商應確保機房位于中國境內，機房選址、設計、供電、消防、溫濕度控制等符合相關(guān)標準的要求。云服務(wù)商應對機房進(jìn)行監控，嚴格限制各類(lèi)人員與運行中的云計算平臺設備進(jìn)行物理接觸，確需接觸的，需通過(guò)云服務(wù)商的明確授權。
 

全文下載：《信 息安全技 術(shù)云計 算服務(wù)安 全能力要求》（GB/T31168-2014）【提取碼: wajf】

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/bz/65690.html

本文關(guān)鍵詞： 信息, 技術(shù), 云計算, 服務(wù), 安全, 能力, 要求, GB, 2014, 全文, PDF版, 下載