云計算服務安全指南解讀(GB-T31167)

云計算服務安全指南解讀云計算初探云計算概述云計算風險生命周期術語和定義云計算特征云計算安全風險規(guī)劃準備服務、部署云計算優(yōu)勢角色及職責基本要求運行監(jiān)管退出服務選擇服務商與部署云計算概述（術語與定義）A.云計算通過網絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自主獲取和管理資源的模式.云計算基礎設施云計算平臺云計算服務云計算環(huán)境云服務客戶云服務商第三方評估機構云計算概述（云計算特征—服務模式—部署模式）A.云計算特征a）按需自助服務b）泛在接入c）資源池化d）快速伸縮性e）服務可計量B.云計算的服務模式a）軟件即服務（SaaS）b）平臺即服務（PaaS）c）基礎設施即服務（IaaS）C.云計算的部署模式a）私有云b）公有云c）社區(qū)云d）混合云云計算概述（云計算的優(yōu)勢）減少開銷和能耗1增加業(yè)務的靈活性2提高業(yè)務系統(tǒng)的可用性3提升專業(yè)性4云計算風險（云計算安全風險）A、客戶對數據和業(yè)務系統(tǒng)的控制能力減弱B、客戶與云服務商之間的責任難以界定F、數據殘留E、數據保護更加困難C、可能產生司法管轄權問題G、容易產生對云服務商的過度依賴D、數據所有權保障面臨風險云計算風險（角色及職責—基本要求）云服務商客戶第三方評估機構-通過安全審查；-進行運行監(jiān)管；-滿足客戶數據和業(yè)務的遷移需求。-選擇合適的云服務商；-數據和業(yè)務的最終安全責任；-監(jiān)管活動根據規(guī)定開展安全檢查。-對云服務商及云計算

服務開展獨立的安全評估；1. 安全管理責任不變客戶是信息安全的最終責任人2. 資源的所有權不變客戶提供的數據、設備等資源，運行過程中收集、產生、存儲數據和文檔都屬于客戶；3. 司法管轄關系不變 客戶數據和業(yè)務的司法管轄權不應因采用云計算服務而改變；云服務商不得將客戶數據及相關信息提供給他國政府及組織；4. 安全管理水平不變遵守政府信息系統(tǒng)系統(tǒng)安全管理政策及標準；5. 堅持先審后用原則云服務商通過安全審查；客戶選擇通過審查的云服務商?；疽罂蛻襞c云服務商云計算生命周期規(guī)劃準備選擇服務商與部署運行監(jiān)管退出服務變更服務商云計算生命周期（規(guī)劃準備）概述政府信息分類政府業(yè)務分類優(yōu)先級確定安全保護要求需求分析形成決策報告效益評估效益評估建設成本運維成本人力成本性能和質量創(chuàng)新性政府信息分類信息分類原則敏感信息公開信息涉密信息非涉密信息政府業(yè)務分類一般業(yè)務重要業(yè)務關鍵業(yè)務需求分析服務模式部署模式功能需求的穩(wěn)定性和通用性資源的動態(tài)需求特點時延業(yè)務連續(xù)性可移植性與互操作性數據的存儲位置監(jiān)管能力云計算生命周期（選擇服務商與部署）部署云服務商的安全能力要求合同中的安全考慮確認云服務商云服務商安全能力系統(tǒng)與通信保護系統(tǒng)開發(fā)與供應鏈安全訪問控制配置管理維護應急響應與災備審計風險評估與持續(xù)監(jiān)控安全組織與人員物理與環(huán)境保護合同中的安全考慮云服務商的責任和義務服務水平協議保密協議合同的信息安全相關內容云計算生命周期（運行監(jiān)管）目標角色職責客戶自身運行監(jiān)管云服務商運行監(jiān)管

合同規(guī)定的責任義務和相關政策規(guī)定得到落實，技術標準得到有效實施

服務質量達到合同要求重大變更時客戶數據和業(yè)務的方向及時有效的響應安全事件

客戶要按照合同、規(guī)章制度和標準加強對云服務商和自身的運行監(jiān)管，云服務商、第三方評估機構應積極參與和配合客戶、云服務商應明確負責運行監(jiān)管的責任人和聯系方式對違規(guī)及違約情況的監(jiān)管對安全措施的監(jiān)管運行狀態(tài)