標準解讀

《GB/T 31167-2023 信息安全技術 云計算服務安全指南》相較于2014版,主要在以下幾個方面進行了更新與調整:

首先,在結構上,《GB/T 31167-2023》對標準的內容框架進行了優(yōu)化重組,使得整個文檔更加符合當前云計算領域的發(fā)展趨勢和技術特點。新版標準更加強調了云服務生命周期管理的重要性,并圍繞這一核心理念構建了更為系統(tǒng)化的指導原則。

其次,在內容層面,《GB/T 31167-2023》增加了對于新興技術如容器、微服務等的支持與考慮,反映了近年來云計算技術快速發(fā)展的現(xiàn)狀。同時,針對數(shù)據(jù)保護、隱私權等方面也提出了更為嚴格的要求,以應對日益嚴峻的信息安全挑戰(zhàn)。

此外,《GB/T 31167-2023》還特別強調了風險管理在整個云計算服務過程中的作用,不僅限于技術層面的安全措施,還包括組織架構、人員培訓等多個維度的綜合考量。這表明新版本更加注重從全局視角出發(fā)來保障云環(huán)境下的信息安全。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實施
?正版授權
GB/T 31167-2023信息安全技術云計算服務安全指南_第1頁
GB/T 31167-2023信息安全技術云計算服務安全指南_第2頁
GB/T 31167-2023信息安全技術云計算服務安全指南_第3頁
GB/T 31167-2023信息安全技術云計算服務安全指南_第4頁
GB/T 31167-2023信息安全技術云計算服務安全指南_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 31167-2023信息安全技術云計算服務安全指南-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T31167—2023

代替GB/T31167—2014

信息安全技術云計算服務安全指南

Informationsecuritytechnology—Securityguidanceforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T31167—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

云計算服務安全管理

5……………………3

概述

5.1…………………3

采用云計算服務的安全管理責任

5.2…………………3

云計算服務安全管理基本原則

5.3……………………4

云計算服務生命周期安全管理

5.4……………………4

規(guī)劃準備

6…………………5

概述

6.1…………………5

數(shù)據(jù)分類

6.2……………5

業(yè)務分類

6.3……………5

安全能力級別

6.4………………………6

需求分析

6.5……………7

形成決策報告

6.6………………………10

選擇云服務商與部署

7……………………10

云服務商安全能力要求

7.1……………10

選擇云服務商

7.2………………………10

合同中的安全考慮

7.3…………………11

部署

7.4…………………12

運行監(jiān)管

8…………………13

概述

8.1…………………13

云服務商和客戶運行監(jiān)管的角色與責任

8.2…………13

客戶自身的運行監(jiān)管

8.3………………14

對云服務商的運行監(jiān)管

8.4……………15

退出服務

9…………………16

退出要求

9.1……………16

確定數(shù)據(jù)移交范圍

9.2…………………16

驗證數(shù)據(jù)的完整性

9.3…………………17

安全刪除數(shù)據(jù)

9.4………………………17

附錄資料性安全責任劃分示例

A()……………………18

附錄資料性云計算安全風險

B()………………………21

參考文獻

……………………23

GB/T31167—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

本文件代替信息安全技術云計算服務安全指南與相

GB/T31167—2014《》,GB/T31167—2014

比除結構調整和編輯性改動外主要技術變化如下

,,:

更改了適用范圍由政府部門更改為客戶見第章見年版的第章

———,“”“”(1,20141);

增加了對見第章見

———GB/T32400—2015(3)、GB/T36325—2018(7.3.3)、GB/T37972—2019

見的規(guī)范性引用

(8.1);

增加并更改了部分術語見第章年版的第章

———(3,20143);

增加了縮略語一章見第章

———“”(4);

刪除了云計算的概述見年版第章

———“”(20144);

增加了云能力類型和云服務類別的引用全文

———“”“”();

將年版中的云計算安全風險作為資料性附錄見附錄

———2014“5.2”(B);

將年版內容作為角色及職責章節(jié)內容并增加云服務安全提供商作為云

———20145.3“5.2.1”,“”

計算服務安全管理的新角色見

(5.2.1);

增加了安全責任劃分的指導和示例見和附錄

———“”(5.2.2A);

將審查更改為評估與相關文件統(tǒng)一名稱全文

———“”“”,();

刪除了效益評估見年版的

———“”(20146.2);

更改了年版政府信息分類的標題和內容見

———2014“6.3”(6.2);

刪除了敏感信息和公開信息相關的技術內容見年版的

———“”“”(20146.3.2、6.3.3);

將標題政府業(yè)務分類更改為業(yè)務分類擴大了業(yè)務范圍見見年版的

———“”“”,(6.3,20146.4);

更改了業(yè)務分類中關鍵業(yè)務的條件見見年版的

———(6.3.4,20146.4.4);

刪除了優(yōu)先級確定的內容見年版的

———“”(20146.5);

更改了安全保護要求提出了三級安全能力級別見見年版的

———,(6.4,20146.6);

更改了年版中的圖增加了關鍵業(yè)務類型和高級安全能力見圖

———20143,(2);

刪除了概述見年版的

———“6.7.1”(20146.7.1);

更改了年版中服務模式標題及內容由服務模式劃分控制范圍更改為通過能力

———2014“6.7.2”,

類型劃分控制范圍見

(6.5.1);

更改了年版中的圖將服務模式改為基本云服務能力類型見圖

———20144,(3);

增加了指導客戶在遷移時對業(yè)務系統(tǒng)集成需求的考慮見見年版的

———(6.5.7,20146.7.8);

更改了年版數(shù)據(jù)的存儲位置的技術內容見

———2014“6.7.9”(6.5.8);

更改了云服務商安全能力要求的內容具體要求參見見見

———“7.1”,GB/T31168—2023(7.1,

年版的

20147.1);

刪除了年版中的至章節(jié)見年版

———20147.1.17.1.10(20147.1.1~7.1.10);

將年版本中的內容合并至見見年版的

———20147.2.27.2(7.2,20147.2);

增加了服務水平協(xié)議的相關文件引用見見年版的

———(7.3.3,20147.3.3);

更改了概述的內容引入為云服務商和運行監(jiān)管方開展云計算服務

———“8.1”,GB/T37972—2019

運行監(jiān)管活動提供指導見見年版的

(8.1,20148.1);

更改了概述的內容強調對云服務安全提供商的運行監(jiān)管責任應由引入方承擔見

———“8.2.1”,(

GB/T31167—2023

見年版的

8.2.1,20148.2.1);

增加了運行監(jiān)管中客戶的相關責任見見年版的

———(8.2.2,20148.2.2);

增加了重大變更的類型見見年版本的

———(8.4.3,20148.4.2);

增加了安全事件的類型見見年版本的

———(8.4.4,20148.4.3);

增加了遷移原則一節(jié)用于指導客戶在遷移數(shù)據(jù)時宜要求云服務商遵循的原則見

———“”,(9.2.1);

將年版中確定移交范圍的內容更改為移交范圍見

———2014“9.2”“9.2.2”(9.2.2);

刪除了安全刪除數(shù)據(jù)中條措施中的存放敏感信息的介質清理后不能用于存放公

———“9.4”c)“3)

開信息見年版的

”(20149.4);

將年版中的安全刪除數(shù)據(jù)中條措施中的腳注作為條措施中注見

———2014“9.4”c)c)(9.4)。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位四川大學中國科學技術大學北京信息安全測評中心華為技術有限公司中國

:、、、、

電子技術標準化研究院北京天融信網絡安全技術有限公司國家信息技術安全研究中心中國網絡安

、、、

全審查技術與認證中心中國移動通信集團有限公司陜西省信息化工程研究院國家工業(yè)信息安全發(fā)

、、、

展研究中心浪潮云信息技術股份公司深信服科技股份有限公司中國信息安全測評中心北京杭州

、、、()、

安恒信息技術股份有限公司中國電子科技集團公司第三十研究所華信咨詢設計研究院有限公司中

、、、

電長城網際系統(tǒng)應用有限公司成都蜀道易信科技有限公司新華三技術有限公司騰訊云計算北京

、、、()

有限責任公司

。

本文件主要起草人陳興蜀周亞超王啟旭閔京華楊苗苗羅永剛張建軍楊建軍左曉棟

:、、、、、、、、、

劉海峰張濱江為強李媛嚴敏瑞王龑王惠蒞張明天張勇盧夏伍揚陳雪鴻史大為柳彩云

、、、、、、、、、、、、、、

張敏邱勤吳復偉張曉菲趙丹丹望婭露劉俊河章建聰陳靜萬曉蘭馬洪軍張格董平于樂

、、、、、、、、、、、、、、

尹麗波趙章界朱毅邱云翔王永霞

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2014GB/T31167—2014;

本次為第一次修訂

———。

GB/T31167—2023

引言

本文件與信息安全技術云計算服務安全能力要求構成了云計算服務安全

GB/T31168—2023《》

管理的基礎文件面向云服務商描述了為客戶提供云計算服務時應具備的安全能

。GB/T31168—2023

力本文件面向客戶提出了采用云計算服務時的安全管理和技術措施

,。

本文件指導客戶做好采用云計算服務的前期分析和規(guī)劃選擇合適的云服務商與部署模式對云計

,,

算服務進行運行監(jiān)管規(guī)避退出云計算服務或更換云服務商的安全風險本文件指導客戶在采用云計

,。

算服務的生命周期采取相應的安全技術和管理措施保障數(shù)據(jù)和業(yè)務的安全安全地使用云計算服務

,,。

GB/T31167—2023

信息安全技術云計算服務安全指南

1范圍

本文件提出了客戶采用云計算服務的安全管理基本原則給出了采用云計算服務的生命周期各階

,

段的安全管理和技術措施提出了云計算服務安全管理原則和相關責任劃分

,。

本文件適用于指導客戶安全地采用云計算服務

。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論