亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

2017年5月24日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》征求意見稿，征求意見截止日期為2017年7月7日。以下是征求意見稿全文。

聯(lián)系人：許玉娜???xuyuna@cesi.cn?? 010—64102731

標(biāo)準(zhǔn)文本：信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架? (點(diǎn)擊下載)

編制說明：

 

國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》

《征求意見稿》編制說明

 

• 任務(wù)來源

2016年6月，在云計(jì)算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，主辦單位為四川大學(xué)，參與起草的單位有中國電子技術(shù)標(biāo)準(zhǔn)化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、中國移動通信集團(tuán)公司、國家信息安全工程技術(shù)研究中心、、阿里云計(jì)算有限公司、中國軟件評測中心、騰訊云計(jì)算（北京）有限責(zé)任公司、華為技術(shù)有限公司、中國信息安全測評中心、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、陜西省信息化工程研究院、廣州賽寶認(rèn)證中心服務(wù)有限公司、等單位，歸口單位為全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信息安全標(biāo)委會，TC260）。

• 編制背景

美國在大力推廣云計(jì)算服務(wù)的過程中，于2011年12月引入了FedRAMP聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃，提供一個標(biāo)準(zhǔn)化的方法來對云計(jì)算產(chǎn)品和服務(wù)進(jìn)行安全評估、授權(quán)與持續(xù)監(jiān)管。在2012年7月，F(xiàn)edRAMP發(fā)表了《持續(xù)監(jiān)管策略與指南》，這項(xiàng)指南要求云服務(wù)提供商必須持續(xù)監(jiān)控提供的云服務(wù)，檢測系統(tǒng)的安全控制措施、變更管理以及應(yīng)急響應(yīng)，保證基于風(fēng)險(xiǎn)的策略能夠準(zhǔn)確地制定。

同時，云安全聯(lián)盟CSA也提出了云計(jì)算服務(wù)第三方審計(jì)方面的初步框架。我國在2014年也發(fā)布了首批云計(jì)算服務(wù)安全方面的標(biāo)準(zhǔn)。

雖然目前在云計(jì)算服務(wù)安全方面的標(biāo)準(zhǔn)研究受到廣泛重視，但在云計(jì)算服務(wù)持續(xù)監(jiān)管方面，國際和國內(nèi)都還缺乏相關(guān)方面的框架、角色、責(zé)任等的標(biāo)準(zhǔn)，CSA雖然提出了審計(jì)相關(guān)的框架，但沒有具有可操作性的標(biāo)準(zhǔn)或規(guī)范推出。我國在持續(xù)監(jiān)管的規(guī)范及標(biāo)準(zhǔn)方面的研究也還是空白。

我國在2014年9月3日發(fā)布了《云計(jì)算服務(wù)安全指南》和《云計(jì)算服務(wù)安全能力要求》兩項(xiàng)標(biāo)準(zhǔn)，并在2015年4月1日正式實(shí)施。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處在中央網(wǎng)信辦指導(dǎo)下，組織開展了云計(jì)算服務(wù)安全審查標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作，對國內(nèi)的華為、曙光、浪潮和阿里云等多家云服務(wù)提供商開展了網(wǎng)絡(luò)安全審查。《云計(jì)算服務(wù)安全指南》和《云計(jì)算服務(wù)安全能力要求》兩項(xiàng)標(biāo)準(zhǔn)規(guī)范了采購云服務(wù)的安全管理及能力要求，對政府部門采用云計(jì)算服務(wù)提出了安全的技術(shù)和管理要求，要求政府部門的用戶必須采用通過安全審查的云計(jì)算服務(wù)。《云計(jì)算服務(wù)安全指南》和《云計(jì)算服務(wù)安全能力要求》兩項(xiàng)標(biāo)準(zhǔn)促進(jìn)了云計(jì)算在政府部門的安全應(yīng)用。

三、編制原則

調(diào)研國內(nèi)外已有云計(jì)算服務(wù)的實(shí)現(xiàn)技術(shù)、架構(gòu)和運(yùn)行機(jī)制；調(diào)研國內(nèi)外與云計(jì)算服務(wù)持續(xù)監(jiān)管相關(guān)的標(biāo)準(zhǔn)、規(guī)范、技術(shù)等現(xiàn)狀；結(jié)合我國國情，分析云計(jì)算服務(wù)持續(xù)監(jiān)管中可能涉及的角色及在持續(xù)監(jiān)管中監(jiān)管職責(zé)的界定；舉辦國內(nèi)學(xué)術(shù)交流會，與相關(guān)企事業(yè)單位、政府機(jī)構(gòu)的信息安全專家開展技術(shù)交流。

本項(xiàng)目將從云計(jì)算服務(wù)持續(xù)監(jiān)管框架進(jìn)行持續(xù)監(jiān)管標(biāo)準(zhǔn)體系的研究，主要包括以下內(nèi)容：

云計(jì)算服務(wù)持續(xù)監(jiān)管相關(guān)術(shù)語的定義和縮略語；

云計(jì)算服務(wù)持續(xù)監(jiān)管的框架，其中包括持續(xù)監(jiān)管的角色、目的、內(nèi)容、活動及責(zé)任；

云計(jì)算服務(wù)持續(xù)監(jiān)管的過程，其中包括安全控制監(jiān)管、變更管理監(jiān)管及應(yīng)急響應(yīng)監(jiān)管；

云計(jì)算服務(wù)持續(xù)監(jiān)管的實(shí)現(xiàn)機(jī)制，其中主要介紹自動化機(jī)制；

四、工作過程簡要說明

1、2016年6月，在云計(jì)算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制《云計(jì)算服務(wù)運(yùn)行監(jiān)管框架及技術(shù)規(guī)范》，對國內(nèi)外云計(jì)算服務(wù)持續(xù)監(jiān)管方法、應(yīng)用、政策和標(biāo)準(zhǔn)進(jìn)行調(diào)研分析，確定云計(jì)算服務(wù)持續(xù)監(jiān)管標(biāo)準(zhǔn)化需求。

2、2016年7月初，成立正式的云計(jì)算服務(wù)持續(xù)監(jiān)管標(biāo)準(zhǔn)編制組，由四川大學(xué)牽頭，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、西安未來國際信息股份有限公司、北京安信天行股份有限公司、阿里巴巴集團(tuán)、中國移動、國家信息安全工程中心、華為、阿里云、中國軟件評測中心、長城網(wǎng)際、中國信息安全測評中心、等單位組成標(biāo)準(zhǔn)編制組。

3、2016年8月15日，在成都星辰航都國際酒店明志廳召開第一次標(biāo)準(zhǔn)編制組工作會議，對標(biāo)準(zhǔn)編制背景、標(biāo)準(zhǔn)化內(nèi)容等進(jìn)行了深入討論，確定了標(biāo)準(zhǔn)編制工作機(jī)制，確定了標(biāo)準(zhǔn)編制提綱。

3、2016年9月20日，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)持續(xù)監(jiān)管框架及技術(shù)規(guī)范》初步草案。

4. 2016年10月18日，四川大學(xué)代表編制組在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年第二次工作組“會議周進(jìn)行工作匯報(bào)，工作組成員單位對標(biāo)準(zhǔn)工作提出了建議和意見。

5．2016年10月20日，對標(biāo)準(zhǔn)存在的問題和意見進(jìn)行了修改，并對后面需要編制的內(nèi)容進(jìn)行了安排。

6. 6. 2016年11月15日，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改和完善，形成了標(biāo)準(zhǔn)草案。
7. 7. 2016年12月27日，編制組在北京集中對標(biāo)準(zhǔn)第五章、第六章和第七章進(jìn)行了討論，基本形成了一致的修改意見。

8.2017年3月18日，信安標(biāo)委在北京組織了對立項(xiàng)標(biāo)準(zhǔn)的評審會，會上針對當(dāng)前標(biāo)準(zhǔn)的內(nèi)容提出了修改意見及建議。

9.2017年3月25，編制組在北京應(yīng)物會議中心組織了組內(nèi)專家評審會，對新修改的標(biāo)準(zhǔn)內(nèi)容進(jìn)行的評審，對標(biāo)準(zhǔn)題目的修改達(dá)成了一致意見，各位專家對標(biāo)準(zhǔn)的組織結(jié)構(gòu)、內(nèi)容細(xì)節(jié)提出了修改建議。

10.2017年4月11日，信安標(biāo)委在武漢東西湖會議中心舉行了年度第一次標(biāo)準(zhǔn)工作周，會上各位專家對最新的標(biāo)準(zhǔn)草案內(nèi)容發(fā)表了意見，并提出了寶貴的修改意見及建議。

11.2017年4月26日，在北京網(wǎng)信辦會議室舉行了專家評審會，對草案內(nèi)容提出了各自的見解，并提出了合理的意見和建議。

五、標(biāo)準(zhǔn)結(jié)構(gòu)和內(nèi)容說明

本標(biāo)準(zhǔn)主要內(nèi)容分為7個章節(jié)，分別針對云計(jì)算服務(wù)持續(xù)監(jiān)管的框架、過程以及實(shí)現(xiàn)機(jī)制進(jìn)行了詳細(xì)的說明。

本標(biāo)準(zhǔn)明確規(guī)范了政府部門云服務(wù)客戶在使用云計(jì)算服務(wù)的過程中，云服務(wù)商、持續(xù)監(jiān)管方的相關(guān)責(zé)任及監(jiān)管內(nèi)容，提出了持續(xù)監(jiān)管框架、過程及方式。同時，本標(biāo)準(zhǔn)為云服務(wù)商制定和實(shí)施云計(jì)算服務(wù)持續(xù)監(jiān)管策略和計(jì)劃提供指導(dǎo)，也為持續(xù)監(jiān)管方進(jìn)行持續(xù)監(jiān)管活動提供指導(dǎo)。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)如下：

前言 2

引言 3

信息安全技術(shù) 云計(jì)算服務(wù)持續(xù)監(jiān)管框架 4

1 范圍 4

2 規(guī)范性引用文件 4

3 術(shù)語和定義 4

4 縮略語 5

5 云計(jì)算服務(wù)持續(xù)監(jiān)管框架 5

5.1 概述 5

5.2 持續(xù)監(jiān)管框架 5

6 云計(jì)算服務(wù)持續(xù)監(jiān)管過程 7

6.1 概述 7

6.2 安全控制監(jiān)管 7

6.3 變更管理監(jiān)管 9

6.4 應(yīng)急響應(yīng)監(jiān)管 10

7 云計(jì)算服務(wù)持續(xù)監(jiān)管的實(shí)現(xiàn)機(jī)制 11

7.1 概述 11

7.2 自動機(jī)制 11

參考文獻(xiàn) 13

 

六、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)以GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》標(biāo)準(zhǔn)為依據(jù)、以GB/T 31168-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》標(biāo)準(zhǔn)為要求，GB/T 31167-2014面向黨政部門，提出了使用云計(jì)算服務(wù)時的安全管理要求，GB/T 31168-2014面向云服務(wù)商，提出了云服務(wù)商在為黨政部門提供云計(jì)算服務(wù)時應(yīng)該具備的安全能力要求。

• 重大分歧意見的處理經(jīng)過和依據(jù)

詳見標(biāo)準(zhǔn)意見匯總處理表。

• 國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。

 

• 貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）

本標(biāo)準(zhǔn)針對云服務(wù)客戶云服務(wù)商提供的云計(jì)算服務(wù)采用云計(jì)算服務(wù)的的持續(xù)監(jiān)管環(huán)節(jié)，闡述了云計(jì)算服務(wù)持續(xù)監(jiān)管的主要角色和職責(zé)、持續(xù)監(jiān)管的目的和內(nèi)容、持續(xù)監(jiān)管框架、過程以及方式等內(nèi)容，用于指導(dǎo)持續(xù)監(jiān)管活動中的云服務(wù)客戶、云服務(wù)商和第三方監(jiān)管機(jī)構(gòu)的監(jiān)管活動，以保障云計(jì)算服務(wù)安全能力持續(xù)達(dá)到云計(jì)算客戶的安全需求。

本標(biāo)準(zhǔn)適用于政府部門采用云計(jì)算服務(wù)的持續(xù)監(jiān)管活動，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使用云計(jì)算服務(wù)時參考。

• 其他事項(xiàng)說明

本標(biāo)準(zhǔn)不涉及專利。

 

《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》

國家標(biāo)準(zhǔn)編制組

2017年5月5日