《信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》

GB/TXXXXX—XXXX

信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

1范圍

本標(biāo)準(zhǔn)針對(duì)云服務(wù)商提供云計(jì)算服務(wù)的運(yùn)行監(jiān)管環(huán)節(jié)，闡述了云計(jì)算服務(wù)運(yùn)行監(jiān)管框架、過(guò)程以及

方式等內(nèi)容，用于指導(dǎo)運(yùn)行監(jiān)管活動(dòng)中的云服務(wù)商和運(yùn)行監(jiān)管機(jī)構(gòu)的監(jiān)管活動(dòng)，為云服務(wù)商制定和實(shí)施

云計(jì)算服務(wù)運(yùn)行監(jiān)管策略和計(jì)劃、為運(yùn)行監(jiān)管方進(jìn)行運(yùn)行監(jiān)管活動(dòng)提供指導(dǎo)，以保障云計(jì)算服務(wù)安全能

力持續(xù)達(dá)到云計(jì)算客戶(hù)的安全需求。

本標(biāo)準(zhǔn)適用于政府部門(mén)采用云計(jì)算服務(wù)的運(yùn)行監(jiān)管活動(dòng)，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使用云

計(jì)算服務(wù)時(shí)參考。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T32400—2015信息技術(shù)云計(jì)算概覽與詞匯

GB/T31167—2014信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31168—2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

3術(shù)語(yǔ)和定義

GB/T32400—2015界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

云計(jì)算CloudComputing

一種通過(guò)網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。

注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。

3.2

云服務(wù)CloudService

通過(guò)云計(jì)算已定義的接口提供一種或多種能力。

3.3

云服務(wù)商CloudServiceProvider

云計(jì)算服務(wù)的供應(yīng)方。

3.4

云服務(wù)客戶(hù)CloudServiceCustomer

為使用云服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。

注：業(yè)務(wù)關(guān)系不一定包含經(jīng)濟(jì)條款。

3.5

1

GB/TXXXXX—XXXX

運(yùn)行監(jiān)管方OperationSupervisionOrganization

獨(dú)立于云計(jì)算服務(wù)相關(guān)方的專(zhuān)業(yè)監(jiān)管機(jī)構(gòu)。

3.6

第三方評(píng)估機(jī)構(gòu)ThirdPartyAssessmentOrganizations(3PAO)

獨(dú)立于云計(jì)算服務(wù)相關(guān)方的專(zhuān)業(yè)評(píng)估機(jī)構(gòu)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CSCCloudServiceCustomer

CSPCloudServiceProvider

OSOOperationSupervisionOrganization

3PAOThirdPartyAssessmentOrganization

5云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

5.1概述

云計(jì)算服務(wù)運(yùn)行監(jiān)管應(yīng)確保云服務(wù)商的云安全控制措施、重大變更管理及應(yīng)急響應(yīng)能力持續(xù)滿(mǎn)足要

求，應(yīng)為云服務(wù)相關(guān)方提供云服務(wù)平臺(tái)相關(guān)的安全信息以便其能及時(shí)地掌握云計(jì)算服務(wù)的安全狀態(tài)。

5.2運(yùn)行監(jiān)管框架

云計(jì)算服務(wù)運(yùn)行監(jiān)管框架是基于國(guó)家標(biāo)準(zhǔn)GB/T31167—2014《信息安全技術(shù)云計(jì)算服務(wù)安全指

南》和GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中對(duì)云計(jì)算服務(wù)運(yùn)行監(jiān)管的安全

要求而提出的。云計(jì)算服務(wù)運(yùn)行監(jiān)管框架如圖1所示，

圖1運(yùn)行監(jiān)管框架

云服務(wù)商持續(xù)監(jiān)控云計(jì)算平臺(tái)中安全控制、變更管理、應(yīng)急響應(yīng)策略、計(jì)劃、規(guī)程及措施的實(shí)施，

并記錄相關(guān)信息及實(shí)施情況，形成證明材料交付件；云服務(wù)商應(yīng)根據(jù)運(yùn)行監(jiān)管方需要的頻率，定期提交

證明材料交付件；運(yùn)行監(jiān)管方對(duì)云服務(wù)商提交的交付件進(jìn)行分析審核、評(píng)估驗(yàn)證等監(jiān)管活動(dòng)，形成評(píng)估

結(jié)果；必要時(shí)應(yīng)根據(jù)評(píng)估結(jié)果給出合理的意見(jiàn)和建議。

5.2.1運(yùn)行監(jiān)管角色

2

GB/TXXXXX—XXXX

運(yùn)行監(jiān)管框架包含兩個(gè)角色：

a)云服務(wù)商：已經(jīng)通過(guò)國(guó)家網(wǎng)絡(luò)安全審查并授權(quán)提供云服務(wù)的供應(yīng)方；

b)運(yùn)行監(jiān)管方：云服務(wù)客戶(hù)的管理部門(mén)（例如：政府信息安全管理部門(mén)、云服務(wù)客戶(hù)的主管部門(mén)

等）或由其指定或委托的第三方獨(dú)立監(jiān)管機(jī)構(gòu)。

5.2.2運(yùn)行監(jiān)管目的

運(yùn)行監(jiān)管的目的是保障：

a)云計(jì)算服務(wù)持續(xù)滿(mǎn)足國(guó)家相關(guān)法律法規(guī)、行政命令、指令、政策、條例和指導(dǎo)方針；

b)云服務(wù)商嚴(yán)格履行GB/T31167—2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》規(guī)定的運(yùn)行監(jiān)管

責(zé)任；

c)云計(jì)算服務(wù)安全能力持續(xù)滿(mǎn)足國(guó)家標(biāo)準(zhǔn)GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能

力要求》規(guī)定的要求；

d)云計(jì)算服務(wù)相關(guān)方能夠及時(shí)地、有效地掌握云計(jì)算服務(wù)的運(yùn)行質(zhì)量和安全狀態(tài)；

e)云計(jì)算服務(wù)的透明及可信；

f)云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)持續(xù)可控；

g)云服務(wù)商不斷提升云服務(wù)平臺(tái)的安全能力。

5.2.3運(yùn)行監(jiān)管內(nèi)容

運(yùn)行監(jiān)管的內(nèi)容應(yīng)包含：

a)云服務(wù)商在云服務(wù)平臺(tái)中計(jì)劃并實(shí)施的安全控制措施的有效性，確保云服務(wù)平臺(tái)中的安全控制

措施持續(xù)有效；

b)云服務(wù)商在云服務(wù)平臺(tái)中計(jì)劃并實(shí)施的重大變更活動(dòng)的情況，確保云服務(wù)平臺(tái)中的重大變更活

動(dòng)風(fēng)險(xiǎn)可控；

c)云服務(wù)商對(duì)云服務(wù)平臺(tái)中的重大安全事件的響應(yīng)情況，確保云服務(wù)平臺(tái)中的應(yīng)急響應(yīng)活動(dòng)及時(shí)

充分。

5.2.4運(yùn)行監(jiān)管活動(dòng)

運(yùn)行監(jiān)管方應(yīng)對(duì)云計(jì)算服務(wù)開(kāi)展安全控制監(jiān)管、變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管等活動(dòng)，采用的方式

可包含：

a)分析審核：運(yùn)行監(jiān)管方對(duì)云服務(wù)商提交的有關(guān)安全控制、變更管理及應(yīng)急響應(yīng)相關(guān)的證明材料

交付件進(jìn)行分析及審核；

a)評(píng)估驗(yàn)證：運(yùn)行監(jiān)管方根據(jù)分析、審核結(jié)果對(duì)云服務(wù)平臺(tái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，必要時(shí)應(yīng)以抽

查、核查及測(cè)試等方式對(duì)交付件中的內(nèi)容進(jìn)行驗(yàn)證；

b)監(jiān)管結(jié)果：運(yùn)行監(jiān)管方根據(jù)評(píng)估驗(yàn)證結(jié)論，形成評(píng)估報(bào)告并告知云服務(wù)商評(píng)估結(jié)果，必要時(shí)應(yīng)

給出合理的意見(jiàn)和建議。

5.2.5運(yùn)行監(jiān)管職責(zé)

5.2.5.1云服務(wù)商的職責(zé)

云服務(wù)商的監(jiān)管職責(zé)如下：

a)嚴(yán)格履行GB/T31167—2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》中云服務(wù)商應(yīng)承擔(dān)的運(yùn)行

監(jiān)管責(zé)任；

b)嚴(yán)格履行GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中應(yīng)承擔(dān)的監(jiān)管責(zé)任；

3

GB/TXXXXX—XXXX

c)嚴(yán)格滿(mǎn)足GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中的安全能力要求；

d)制定并實(shí)施安全控制策略與計(jì)劃，確保安全控制措施持續(xù)有效；

e)制定并實(shí)施重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)；

f)制定并實(shí)施應(yīng)急響應(yīng)計(jì)劃、重大安全事件處理策略；

g)制定并實(shí)施持續(xù)監(jiān)控策略與計(jì)劃，針對(duì)云平臺(tái)的控制措施、受控配置及運(yùn)行狀態(tài)實(shí)施監(jiān)控；

h)開(kāi)展周期性的風(fēng)險(xiǎn)評(píng)估，在云平臺(tái)發(fā)生重大安全事件時(shí)或?qū)嵤┲卮笞兏螅瑧?yīng)重新進(jìn)行風(fēng)險(xiǎn)評(píng)

估，將記錄有評(píng)估結(jié)果的風(fēng)險(xiǎn)評(píng)估報(bào)告提交給運(yùn)行監(jiān)管方；

i)按照運(yùn)行監(jiān)管方的要求記錄有關(guān)安全控制措施、重大變更及應(yīng)急響應(yīng)的相關(guān)信息及實(shí)施情況并

歸檔，以支撐運(yùn)行監(jiān)管活動(dòng)。

5.2.5.2運(yùn)行監(jiān)管方的職責(zé)

運(yùn)行監(jiān)管方的監(jiān)管職責(zé)如下：

a)監(jiān)督云服務(wù)商履行GB/T31167—2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》中應(yīng)實(shí)施的運(yùn)行

監(jiān)管措施；

b)監(jiān)督云服務(wù)商履行GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中應(yīng)實(shí)施的

安全措施；

c)監(jiān)督云服務(wù)商達(dá)到GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中的安全能

力要求；

d)制定并維護(hù)運(yùn)行監(jiān)管策略與計(jì)劃，對(duì)云服務(wù)商的云服務(wù)平臺(tái)實(shí)施運(yùn)行監(jiān)管活動(dòng)；

e)制定并維護(hù)運(yùn)行監(jiān)管活動(dòng)中所需交付件的內(nèi)容及格式要求，必要時(shí)應(yīng)提供模版；

f)定期接收云服務(wù)商提交的相關(guān)證明材料的交付件，對(duì)交付件內(nèi)容進(jìn)行分析、評(píng)估及審核；

g)評(píng)估云服務(wù)商的安全控制策略與計(jì)劃、安全控制措施并監(jiān)督其實(shí)施情況，必要時(shí)應(yīng)給出合理的

意見(jiàn)和建議；

h)評(píng)估云服務(wù)商的重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)并監(jiān)督其實(shí)施情況，必要時(shí)應(yīng)

給出合理的意見(jiàn)和建議；

i)評(píng)估云服務(wù)商的應(yīng)急響應(yīng)計(jì)劃、重大安全事件處理策略并監(jiān)督其實(shí)施情況，必要時(shí)應(yīng)給出合理

的意見(jiàn)和建議；

j)定期對(duì)云服務(wù)商的云服務(wù)平臺(tái)的安全性、透明性、可用性等安全屬性實(shí)施全面分析與評(píng)估，形

成評(píng)估報(bào)告并歸檔，必要時(shí)應(yīng)給出合理的意見(jiàn)和建議。

6云計(jì)算服務(wù)運(yùn)行監(jiān)管過(guò)程

6.1概述

云計(jì)算服務(wù)運(yùn)行監(jiān)管過(guò)程主要針對(duì)云計(jì)算服務(wù)的安全控制、變更管理、應(yīng)急響應(yīng)的運(yùn)行監(jiān)管。云計(jì)

算服務(wù)運(yùn)行監(jiān)管過(guò)程的一個(gè)重要作用就是要求云服務(wù)商提供證據(jù)以證明其云服務(wù)安全能力持續(xù)符合

GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》，證明其實(shí)施的安全控制措施的有效性、

變更管理的合理性及應(yīng)急響應(yīng)的充分性。

云計(jì)算服務(wù)運(yùn)行監(jiān)管的活動(dòng)包含三個(gè)部分：

a)安全控制監(jiān)管；

b)變更管理監(jiān)管；

c)應(yīng)急響應(yīng)監(jiān)管。

6.2安全控制監(jiān)管

4

GB/TXXXXX—XXXX

安全控制監(jiān)管有助于運(yùn)行監(jiān)管方對(duì)云服務(wù)商實(shí)施的安全控制措施有全面的認(rèn)知，同時(shí)，方便運(yùn)行監(jiān)

管方了解并掌握安全控制措施的運(yùn)行情況，以便運(yùn)行監(jiān)管方分析、審核、評(píng)估、驗(yàn)證云服務(wù)平臺(tái)的安全

性及安全控制措施的有效性。

6.2.1安全控制監(jiān)管要求

6.2.1.1云服務(wù)商的要求

a)云服務(wù)商應(yīng)：根據(jù)GB/T31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中相關(guān)安

全能力要求制定安全控制策略與計(jì)劃，并實(shí)施相應(yīng)的安全控制措施；

b)制定并實(shí)施持續(xù)監(jiān)控策略，對(duì)已實(shí)施的安全控制措施進(jìn)行持續(xù)監(jiān)控；

c)定期維護(hù)并更新云服務(wù)平臺(tái)中的安全控制措施，確保其持續(xù)有效；

d)定期對(duì)云服務(wù)平臺(tái)中已實(shí)施的安全控制措施進(jìn)行測(cè)評(píng)并形成測(cè)評(píng)報(bào)告；

e)記錄云服務(wù)平臺(tái)中有關(guān)安全控制措施的相關(guān)信息及實(shí)施情況并歸檔；

f)根據(jù)運(yùn)行監(jiān)管方的要求，提交有關(guān)安全控制措施的相關(guān)交付件。

6.2.1.2運(yùn)行監(jiān)管方的要求

運(yùn)行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商嚴(yán)格履行安全控制策略與計(jì)劃并實(shí)施安全控制措施；

b)監(jiān)督云服務(wù)商嚴(yán)格履行持續(xù)監(jiān)控策略并對(duì)已實(shí)施的安全控制措施進(jìn)行持續(xù)監(jiān)控；

c)分析、評(píng)估、審核云服務(wù)商提交的與安全控制措施相關(guān)的交付件，確保安全控制措施的合規(guī)性；

d)監(jiān)督云服務(wù)商對(duì)不合規(guī)的安全控制措施進(jìn)行整改，并跟蹤整改情況；

e)根據(jù)需要的頻率，以審查、抽查、測(cè)試、評(píng)估等方式對(duì)云服務(wù)商的安全控制措施的有效性進(jìn)行

驗(yàn)證；

6.2.2安全控制監(jiān)管的內(nèi)容

安全控制監(jiān)管的目的是要求云服務(wù)商提供能證明其實(shí)施的安全控制措施滿(mǎn)足GB/T31168—2014

《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的交付件。通過(guò)國(guó)家網(wǎng)絡(luò)安全審查并授權(quán)為政府部門(mén)提供

云計(jì)算服務(wù)的云服務(wù)商，為保證審查結(jié)論持續(xù)有效，應(yīng)以與運(yùn)行監(jiān)管方約定的時(shí)間點(diǎn)（天、周、月、年

等）或運(yùn)行監(jiān)管方需要的頻率定期提交能證明其安全控制措施有效性的交付件。

附錄A中所示的是安全控制監(jiān)管所要求提交的證明材料交付件。

6.2.3安全控制監(jiān)管流程

安全控制的監(jiān)管流程如下：

a)云服務(wù)商制定安全控制策略與計(jì)劃，并實(shí)施安全控制措施；

b)云服務(wù)商制定持續(xù)監(jiān)控策略，并對(duì)已實(shí)施的安全控制措施進(jìn)行持續(xù)監(jiān)控；

c)云服務(wù)商定期提交能證明其安全控制措施有效性的相關(guān)交付件，例如，運(yùn)行監(jiān)管方可根據(jù)GB/T

31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》中的相關(guān)安全能力要求提供《系統(tǒng)

安全計(jì)劃》、《系統(tǒng)風(fēng)險(xiǎn)持續(xù)改進(jìn)》等證明材料模版，以便云服務(wù)商根據(jù)要求填寫(xiě)；

d)運(yùn)行監(jiān)管方對(duì)云服務(wù)商提交的交付件進(jìn)行分析、評(píng)估及審核，并將評(píng)審結(jié)果告知云服務(wù)商，例

如，安全控制措施合規(guī)或安全控制措施不合規(guī)應(yīng)限期整改等；

e)云服務(wù)商應(yīng)定期委托第三方評(píng)估機(jī)構(gòu)或有評(píng)估資質(zhì)的運(yùn)行監(jiān)管方對(duì)云服務(wù)平臺(tái)中已實(shí)施的安

全控制措施進(jìn)行測(cè)評(píng)，安全測(cè)試內(nèi)容包括但不限于云平臺(tái)系統(tǒng)/組件、基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)、物

理環(huán)境等，并提交相應(yīng)的測(cè)評(píng)報(bào)告給運(yùn)行監(jiān)管方，例如，《安全措施測(cè)評(píng)報(bào)告》、《滲透測(cè)試報(bào)

5

GB/TXXXXX—XXXX

告》、《脆弱性?huà)呙鑸?bào)告》等；

f)運(yùn)行監(jiān)管方可根據(jù)云服務(wù)客戶(hù)要求或安全監(jiān)管需求，以審查、抽查、測(cè)試、評(píng)估等方式定期或

不定期地對(duì)云服務(wù)商的安全控制措施的有效性進(jìn)行驗(yàn)證；

g)如果云服務(wù)商的安全控制措施不合規(guī)，運(yùn)行監(jiān)管方可要求云服務(wù)商對(duì)不合規(guī)的安全控制措施限

期整改并跟蹤整改情況，整改完成后重新進(jìn)行評(píng)估、審核。

6.3變更管理監(jiān)管

變更管理過(guò)程有助于維持云服務(wù)平臺(tái)的安全配置基線(xiàn)，預(yù)防重大安全事件的發(fā)生。云服務(wù)商應(yīng)制定

配置管理計(jì)劃、變更管理方法、變更實(shí)施流程等策略與規(guī)程對(duì)例行的日常變更、安全變更、需求變更等

進(jìn)行安全地管理。在進(jìn)行重大變更前，云服務(wù)商應(yīng)對(duì)計(jì)劃實(shí)施的變更進(jìn)行安全影響分析以確保變更不會(huì)

對(duì)云服務(wù)平臺(tái)及客戶(hù)業(yè)務(wù)環(huán)境的安全產(chǎn)生負(fù)面影響。

6.3.1變更管理監(jiān)管要求

6.3.1.1云服務(wù)商的要求

云服務(wù)商應(yīng)：

a)制定并實(shí)施重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)；

b)制定并維護(hù)云平臺(tái)受控配置列表，明確重大變更項(xiàng)及需定期變更的配置項(xiàng)；

c)定期對(duì)病毒庫(kù)、入侵檢測(cè)規(guī)則庫(kù)、防火墻規(guī)則庫(kù)、漏洞庫(kù)等與云平臺(tái)安全相關(guān)的重要配置項(xiàng)進(jìn)

行更新；

d)在云平臺(tái)上實(shí)施變更之前，應(yīng)對(duì)變更項(xiàng)進(jìn)行安全影響分析以確保該變更不會(huì)對(duì)云平臺(tái)環(huán)境或云

服務(wù)客戶(hù)業(yè)務(wù)環(huán)境造成潛在的安全影響；

e)在云平臺(tái)上實(shí)施變更之前，對(duì)重大變更項(xiàng)進(jìn)行測(cè)試、驗(yàn)證和記錄；

f)對(duì)重大變更實(shí)施物理和邏輯訪(fǎng)問(wèn)控制，并對(duì)變更動(dòng)作進(jìn)行審計(jì)；

g)限制云計(jì)算系統(tǒng)開(kāi)發(fā)方和集成方對(duì)云服務(wù)平臺(tái)中的信息系統(tǒng)及軟硬件和固件進(jìn)行直接變更；

h)定期對(duì)云計(jì)算系統(tǒng)的開(kāi)發(fā)方和集成方掌握的變更權(quán)限進(jìn)行審查和再評(píng)估；

i)記錄云服務(wù)平臺(tái)中有關(guān)重大變更活動(dòng)的相關(guān)信息及實(shí)施情況并歸檔；

j)根據(jù)運(yùn)行監(jiān)管方的要求，提交有關(guān)重大變更活動(dòng)的相關(guān)交付件。

6.3.1.2運(yùn)行監(jiān)管方的要求

運(yùn)行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商嚴(yán)格履行重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)；

b)監(jiān)督云服務(wù)商定期更新并維護(hù)云平臺(tái)受控配置列表、重大變更項(xiàng)及受控配置項(xiàng)；

c)確保云服務(wù)商在在云服務(wù)平臺(tái)上實(shí)施重大變更前，對(duì)變更項(xiàng)實(shí)施測(cè)試、驗(yàn)證及安全影響分析；

d)定期對(duì)涉及云平臺(tái)受控配置變更的有關(guān)活動(dòng)進(jìn)行審查；

e)分析、審核云服務(wù)商提交的與重大變更活動(dòng)相關(guān)的交付件，根據(jù)安全影響分析結(jié)果給出合理的

意見(jiàn)和建議。

6.3.2變更管理監(jiān)管內(nèi)容

重大變更涉及的主要內(nèi)容包括但不限于：

a)鑒別（包括身份鑒別和數(shù)據(jù)源鑒別）和訪(fǎng)問(wèn)控制措施進(jìn)行變更；

b)數(shù)據(jù)存儲(chǔ)的實(shí)現(xiàn)方法的變更；

c)云服務(wù)平臺(tái)中軟件代碼的更新；

6

GB/TXXXXX—XXXX

d)備份機(jī)制和流程的變更；

e)與外部服務(wù)商網(wǎng)絡(luò)連接的變更；

f)安全控制措施的變更；

g)已部署的商業(yè)軟硬件產(chǎn)品的替換；

h)云計(jì)算服務(wù)分包商的變更，例如PaaS、SaaS服務(wù)商更換IaaS服務(wù)商。

6.3.3變更管理監(jiān)管流程

重大變更的監(jiān)管流程如下：

a)云服務(wù)商應(yīng)制定并實(shí)施重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)；

b)云服務(wù)商對(duì)云平臺(tái)受控配置列表中的重大變更項(xiàng)及受控配置項(xiàng)進(jìn)行持續(xù)監(jiān)控；

c)云服務(wù)商在實(shí)施重大變更之前，應(yīng)以與運(yùn)行監(jiān)管方約定的時(shí)間提前通知運(yùn)行監(jiān)管方；

d)云服務(wù)商在實(shí)施重大變更之前，應(yīng)對(duì)變更項(xiàng)進(jìn)行測(cè)試、驗(yàn)證及安全影響分析；

e)云服務(wù)商應(yīng)根據(jù)運(yùn)行監(jiān)管方的要求提供有關(guān)計(jì)劃實(shí)施的重大變更的交付件，例如，運(yùn)行監(jiān)管方

提供《重大變更情況》、《重大變更安全影響分析表》、《安全評(píng)估計(jì)劃》等證明材料的模版，

以便云服務(wù)商根據(jù)要求填寫(xiě)；

f)運(yùn)行監(jiān)管方對(duì)云服務(wù)商提交的交付件進(jìn)行分析、評(píng)估及審核，根據(jù)安全影響分析結(jié)果給出合理

的意見(jiàn)和建議，必要時(shí)應(yīng)協(xié)助云服務(wù)商更改重大變更計(jì)劃。例如，如果云服務(wù)商計(jì)劃實(shí)施的

變更可能會(huì)增加安全風(fēng)險(xiǎn)或暴露出不能接受的其他風(fēng)險(xiǎn)，運(yùn)行監(jiān)管方應(yīng)給出意見(jiàn)和建議：

1)變更計(jì)劃合規(guī)，建議實(shí)施變更計(jì)劃；

2)變更計(jì)劃不合規(guī)，建議更改變更計(jì)劃，重新提交評(píng)審；

3)變更存在安全風(fēng)險(xiǎn)，建議撤銷(xiāo)變更計(jì)劃。

g)云服務(wù)商完成重大變更后，應(yīng)將有關(guān)重大變更活動(dòng)記錄在案，在與運(yùn)行監(jiān)管方預(yù)先約定的時(shí)間

內(nèi)提交最新的有關(guān)云服務(wù)平臺(tái)的安全評(píng)估報(bào)告，例如，云服務(wù)商委托第三方評(píng)估機(jī)構(gòu)或有評(píng)

估資質(zhì)的運(yùn)行監(jiān)管方對(duì)云平臺(tái)進(jìn)行測(cè)評(píng)，然后將重大變更情況和評(píng)估結(jié)果形成《安全評(píng)估報(bào)

告》、《變更說(shuō)明》等交付件提交給運(yùn)行監(jiān)管方；

h)運(yùn)行監(jiān)管方對(duì)云服務(wù)商的交付件進(jìn)行審核，確保云服務(wù)商的重大變更活動(dòng)的相關(guān)信息與實(shí)施情

況與交付件中的內(nèi)容一致。

6.4應(yīng)急響應(yīng)監(jiān)管

應(yīng)急響應(yīng)的目的是為了確保云服務(wù)相關(guān)方在發(fā)生安全事件時(shí)可以相互協(xié)調(diào)及溝通，并以團(tuán)隊(duì)協(xié)作的

方式快速應(yīng)對(duì)和解決安全事件。

云服務(wù)商應(yīng)制定并維護(hù)應(yīng)急響應(yīng)計(jì)劃以證明其有能力對(duì)重大安全事件做出及時(shí)、充分的響應(yīng)。一旦

發(fā)現(xiàn)重大安全事件，例如，拒絕服務(wù)攻擊、惡意代碼感染、非授權(quán)訪(fǎng)問(wèn)等，都應(yīng)及時(shí)通知運(yùn)行監(jiān)管方，

并及時(shí)對(duì)安全事件進(jìn)行處理。

6.4.1應(yīng)急響應(yīng)監(jiān)管要求

6.4.1.1云服務(wù)商的要求

云服務(wù)商應(yīng)：

a)制定并實(shí)施應(yīng)急響應(yīng)計(jì)劃、重大安全事件處理策略；

b)遵守變更管理過(guò)程中制定重大變更策略與規(guī)程、配置管理計(jì)劃與配置基線(xiàn)；

c)檢測(cè)到重大安全事件時(shí)應(yīng)及時(shí)處理并以適當(dāng)?shù)姆绞酵ㄖ品?wù)相關(guān)方；

d)記錄云服務(wù)平臺(tái)中有關(guān)應(yīng)急響應(yīng)活動(dòng)的相關(guān)信息及實(shí)施情況并歸檔；

7

GB/TXXXXX—XXXX

e)根據(jù)運(yùn)行監(jiān)管方的要求，提交有關(guān)應(yīng)急響應(yīng)活動(dòng)的相關(guān)交付件。

6.4.1.2運(yùn)行監(jiān)管方的要求

運(yùn)行監(jiān)管方應(yīng)：

a)監(jiān)督云服務(wù)商制定并實(shí)施應(yīng)急響應(yīng)計(jì)劃、重大安全事件處理策略；

b)監(jiān)督云服務(wù)商的及時(shí)處理安全事件并跟蹤處理進(jìn)展直到閉環(huán)；

c)協(xié)助云服務(wù)商處理重大安全事件并跟蹤事件處理情況直到閉環(huán)；

d)分析、審核云服務(wù)商提交的與應(yīng)急響應(yīng)活動(dòng)相關(guān)的交付件，必要時(shí)應(yīng)給出合理的意見(jiàn)和建議；

6.4.2應(yīng)急響應(yīng)監(jiān)管內(nèi)容

涉及應(yīng)急響應(yīng)的安全事件包括但不限于：

a)非授權(quán)訪(fǎng)問(wèn)事件，如對(duì)云服務(wù)平臺(tái)下的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)或其他計(jì)算資源進(jìn)行非授權(quán)邏輯或物理

訪(fǎng)問(wèn)等；

b)拒絕服務(wù)攻擊事件；

c)惡意代碼感染，如云服務(wù)平臺(tái)被病毒、蠕蟲(chóng)、特洛伊木馬等惡意代碼感染；

d)客戶(hù)違反云計(jì)算服務(wù)的使用策略，例如發(fā)送垃圾郵件等。

6.4.3應(yīng)急響應(yīng)監(jiān)管流程

應(yīng)急響應(yīng)的監(jiān)管流程如下：

a)如果云服務(wù)商檢測(cè)到可能會(huì)導(dǎo)致云服務(wù)客戶(hù)的業(yè)務(wù)中斷或?qū)υ品?wù)客戶(hù)數(shù)據(jù)的機(jī)密性和完整

性有威脅的事件時(shí)，應(yīng)通知可能受影響的云服務(wù)客戶(hù)；

b)通知完云服務(wù)客戶(hù)后，云服務(wù)商應(yīng)并與運(yùn)行監(jiān)管方進(jìn)行溝通，以便運(yùn)行監(jiān)管方獲得與此安全事

件相關(guān)的信息；

c)如果云服務(wù)商需要協(xié)助處理安全事件，運(yùn)行監(jiān)管方應(yīng)協(xié)助云服務(wù)商及時(shí)處理安全事件；

d)運(yùn)行監(jiān)管方應(yīng)確保所有受影響的云服務(wù)客戶(hù)都已經(jīng)接收到云服務(wù)商的通知并知悉安全事件的

有關(guān)信息、處理情況及安全影響；

e)運(yùn)行監(jiān)管方應(yīng)記錄有關(guān)此應(yīng)急響應(yīng)活動(dòng)的相關(guān)信息及處理情況；

i)運(yùn)行監(jiān)管方對(duì)云服務(wù)商的交付件進(jìn)行審核，確保云服務(wù)商的應(yīng)急響應(yīng)活動(dòng)的相關(guān)信息與實(shí)施情

況與交付件中的內(nèi)容一致。

7云計(jì)算服務(wù)運(yùn)行監(jiān)管的實(shí)現(xiàn)機(jī)制

7.1概述

為了履行在運(yùn)行監(jiān)管活動(dòng)中的責(zé)任，并實(shí)現(xiàn)運(yùn)行監(jiān)管的目的，運(yùn)行監(jiān)管方在運(yùn)行監(jiān)管過(guò)程中需要接

收云服務(wù)商提交的有關(guān)安全能力的交付件。運(yùn)行監(jiān)管方應(yīng)通過(guò)有效、準(zhǔn)確、及時(shí)地方式接收交付件以便

對(duì)云服務(wù)商的云服務(wù)安全能力實(shí)施分析、評(píng)估、審核、驗(yàn)證等活動(dòng)。因此，云服務(wù)商應(yīng)努力尋求自動(dòng)化

機(jī)制以降低人力、物力和時(shí)間成本，提升并改進(jìn)運(yùn)行監(jiān)管過(guò)程的效率和可靠性，通過(guò)將人、過(guò)程及技術(shù)

結(jié)合的方式來(lái)支撐運(yùn)行監(jiān)管活動(dòng)。

7.2自動(dòng)機(jī)制

8

GB/TXXXXX—XXXX

自動(dòng)機(jī)制可增加運(yùn)行監(jiān)管過(guò)程的安全性并減少運(yùn)行監(jiān)管過(guò)程中用于處理重復(fù)性工作所花費(fèi)的時(shí)間。

自動(dòng)化獲取運(yùn)行監(jiān)管交付件的機(jī)制，可以用于對(duì)人與人之間交互的需求較少的處理過(guò)程。隨著云服務(wù)平

臺(tái)自動(dòng)機(jī)制的逐漸成熟與不斷提高，最終應(yīng)使用自動(dòng)機(jī)制支撐整個(gè)運(yùn)行監(jiān)管過(guò)程。

7.2.1主要內(nèi)容

自動(dòng)機(jī)制涉及的主要內(nèi)容包括但不限于：

a)限制對(duì)各類(lèi)介質(zhì)的訪(fǎng)問(wèn)，并對(duì)介質(zhì)訪(fǎng)問(wèn)情況進(jìn)行審計(jì)；

b)對(duì)配置項(xiàng)的參數(shù)進(jìn)行集中管理、應(yīng)用和驗(yàn)證；

c)檢測(cè)云計(jì)算服務(wù)平臺(tái)中新增的非授權(quán)軟件、硬件或固件組件；

d)維護(hù)信息系統(tǒng)組件清單；

e)支持事件處理過(guò)程；

f)支持事件報(bào)告過(guò)程；

g)提高事件響應(yīng)支持資源的可用性；

h)對(duì)審查、分析和報(bào)告過(guò)程進(jìn)行整合，以支持對(duì)可疑活動(dòng)的調(diào)查和響應(yīng)；

i)比較不同時(shí)間的脆弱性?huà)呙杞Y(jié)果，以判斷信息系統(tǒng)漏洞趨勢(shì)；

j)更新惡意代碼防護(hù)機(jī)制；

k)管理賬號(hào)；

l)監(jiān)視和控制遠(yuǎn)程訪(fǎng)問(wèn)會(huì)話(huà)，以檢測(cè)網(wǎng)絡(luò)攻擊，確保遠(yuǎn)程訪(fǎng)問(wèn)策略得以實(shí)現(xiàn)；

m)對(duì)缺陷修復(fù)后的組件進(jìn)行檢測(cè)；

n)對(duì)攻擊事件進(jìn)行準(zhǔn)實(shí)時(shí)分析；

o)溫濕度控制

7.2.2注意事項(xiàng)

云服務(wù)商在實(shí)現(xiàn)自動(dòng)機(jī)制時(shí)應(yīng)考慮：

a)從各種信息源中提取信息；

b)使用開(kāi)放性規(guī)范或協(xié)議；

c)提供與其他工具的可交互性；

d)遵守國(guó)家相關(guān)法律、行政命令、指令、政策、條例、標(biāo)準(zhǔn)和指導(dǎo)方針；

e)能夠?qū)Π踩刂?、變更管理及?yīng)急響應(yīng)過(guò)程中的信息進(jìn)行整合并格式化輸出。

9

GB/TXXXXX—XXXX

附錄A安全控制項(xiàng)

交付備注

安全安全頻負(fù)責(zé)

屬性?xún)?nèi)容件類(lèi)（章

類(lèi)項(xiàng)率方

型節(jié)號(hào)）

資源一般c）在工作計(jì)劃和預(yù)算文件中，將信息安全作為單云服

每年證據(jù)5.2

分配要求列項(xiàng)予以說(shuō)明。務(wù)商

云服務(wù)商應(yīng)根據(jù)相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)的

要求，以及可能的客戶(hù)需求，并在風(fēng)險(xiǎn)評(píng)估的基

礎(chǔ)上，將以下內(nèi)容列入信息系統(tǒng)采購(gòu)合同：

a）安全功能要求。

采購(gòu)一般b）安全強(qiáng)度要求。云服

每年證據(jù)5.4

過(guò)程要求c）安全保障要求。務(wù)商

d）安全相關(guān)文檔要求。

e）保密要求。

f）開(kāi)發(fā)環(huán)境和預(yù)期運(yùn)行環(huán)境描述。

g）驗(yàn)收準(zhǔn)則。

h）強(qiáng)制配置要求，如功能、端口、協(xié)議和服務(wù)。

c）按照[賦值：云服務(wù)商定義的頻率]審查開(kāi)發(fā)過(guò)

程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置，判定有關(guān)

系統(tǒng)

過(guò)程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置是否滿(mǎn)足[賦

開(kāi)發(fā)

值：云服務(wù)商定義的安全需求]。

與供云服

d）要求信息系統(tǒng)、組件或服務(wù)的開(kāi)發(fā)商在開(kāi)發(fā)過(guò)每年證據(jù)

應(yīng)鏈務(wù)商

開(kāi)發(fā)程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn)，并以[選擇：[賦

安全

過(guò)程、

增強(qiáng)值：云服務(wù)商定義的頻率]；[賦值：云服務(wù)商定義

標(biāo)準(zhǔn)5.10

要求的項(xiàng)目審查里程碑]；交付時(shí)]為節(jié)點(diǎn)，檢查質(zhì)量度

和工量標(biāo)準(zhǔn)的落實(shí)情況。

具

i）要求信息系統(tǒng)、組件或服務(wù)的開(kāi)發(fā)商即使在交

付信息系統(tǒng)、組件或服務(wù)后，也應(yīng)跟蹤信息系統(tǒng)、云服

每月證據(jù)

組件或服務(wù)的漏洞情況，在發(fā)布漏洞補(bǔ)丁前便應(yīng)務(wù)商

通知云服務(wù)商，且應(yīng)將漏洞補(bǔ)丁交由云服務(wù)商審

查、驗(yàn)證并允許云服務(wù)商自行安裝。

第三

開(kāi)發(fā)一般a）制定并實(shí)施安全評(píng)估計(jì)劃。方評(píng)

每年報(bào)告

商安要求b）以[賦值：云服務(wù)商定義的深度和覆蓋度]執(zhí)行估機(jī)

全測(cè)[選擇：?jiǎn)卧?；集成；系統(tǒng)；回歸]測(cè)試或評(píng)估。構(gòu)5.12

試和e）要求信息系統(tǒng)、組件或服務(wù)的開(kāi)發(fā)商按照[賦值：第三

增強(qiáng)

評(píng)估云服務(wù)商定義的約束條件]，以[賦值：云服務(wù)商每年方評(píng)報(bào)告

要求

定義的廣度和深度]執(zhí)行滲透性測(cè)試。估機(jī)

10

GB/TXXXXX—XXXX

構(gòu)

云服

每年報(bào)告

務(wù)商

b）向[選擇：正品廠(chǎng)商；[賦值：云服務(wù)商定義的

組件外部報(bào)告機(jī)構(gòu)]；[賦值：云服務(wù)商定義的人員和角

增強(qiáng)每季云服

真實(shí)色]；其他有關(guān)方面]報(bào)告贗品組件。證據(jù)5.15

要求度務(wù)商

性f）按照[賦值：云服務(wù)商定義的頻率]檢查信息系

統(tǒng)中是否有贗品組件。

供應(yīng)b）確保[賦值：云服務(wù)商定義的重要設(shè)備]通過(guò)[賦

一般云服

鏈保值：政府和行業(yè)有關(guān)部門(mén)已設(shè)立的信息安全測(cè)評(píng)每年證據(jù)5.17

要求務(wù)商

護(hù)制度]的安全檢測(cè)。

a）在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上，對(duì)

通信進(jìn)行監(jiān)控；在客戶(hù)之外的外部人員訪(fǎng)問(wèn)系統(tǒng)

的關(guān)鍵邏輯邊界和客戶(hù)訪(fǎng)問(wèn)系統(tǒng)的關(guān)鍵邏輯邊界

上，對(duì)通信進(jìn)行監(jiān)控。

b）將允許外部公開(kāi)直接訪(fǎng)問(wèn)的組件，劃分在一個(gè)

一般云服

與內(nèi)部網(wǎng)絡(luò)邏輯隔離的子網(wǎng)絡(luò)上。并確保允許外實(shí)時(shí)證據(jù)

要求務(wù)商

部人員訪(fǎng)問(wèn)的組件與允許客戶(hù)訪(fǎng)問(wèn)的組件在邏輯

層面實(shí)現(xiàn)嚴(yán)格的網(wǎng)絡(luò)隔離。

c）確保與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接只能通過(guò)嚴(yán)

格管理的接口進(jìn)行，根據(jù)云服務(wù)商的安全架構(gòu)，

該接口上應(yīng)部署有邊界保護(hù)設(shè)備。

系統(tǒng)a）為云計(jì)算服務(wù)搭建物理獨(dú)立的計(jì)算平臺(tái)、存儲(chǔ)

與通邊界云服

平臺(tái)、內(nèi)部網(wǎng)絡(luò)環(huán)境及相關(guān)維護(hù)、安防、電源等每年證據(jù)

信保保護(hù)設(shè)施，并經(jīng)由受控邊界與外部網(wǎng)絡(luò)相連。務(wù)商

護(hù)g）構(gòu)建物理上獨(dú)立的管理網(wǎng)絡(luò)，連接管理工具和

被管設(shè)備或資源，以對(duì)云計(jì)算平臺(tái)進(jìn)行管理。

c）采取以下措施：

增強(qiáng)1）對(duì)每一個(gè)外部的電信服務(wù)接口進(jìn)行管理。

6.2

要求2）為每一個(gè)接口制定通信流策略。

3）采取有關(guān)措施對(duì)所傳輸?shù)男畔⒘鬟M(jìn)行必要的保

密性和完整性保護(hù)。

根據(jù)云服

4）當(dāng)根據(jù)業(yè)務(wù)需要，出現(xiàn)通信流策略的例外情況證據(jù)

需要?jiǎng)?wù)商

時(shí)，將業(yè)務(wù)需求和通信持續(xù)時(shí)間記錄到通信流策

略的例外條款中。

5）按照[賦值：云服務(wù)商定義的頻率]，對(duì)網(wǎng)絡(luò)通

信流策略中的例外條款進(jìn)行審查，在通信流策略

中刪除不再需要的例外條款。

11

GB/TXXXXX—XXXX

c）配置惡意代碼防護(hù)機(jī)制，以：

1）按照[賦值：云服務(wù)商定義的頻率]定期掃描信

息系統(tǒng)，以及在[選擇：終端；網(wǎng)絡(luò)出入口]下載、

惡意

一般打開(kāi)、執(zhí)行外部文件時(shí)對(duì)其進(jìn)行實(shí)時(shí)掃描。每季云服

代碼證據(jù)6.11

要求2）當(dāng)檢測(cè)到惡意代碼后，實(shí)施[選擇：阻斷或隔離度務(wù)商

防護(hù)

惡意代碼；向管理員報(bào)警；[賦值：云服務(wù)商定義

的活動(dòng)]]。

d）及時(shí)掌握系統(tǒng)的惡意代碼誤報(bào)率，并分析誤報(bào)

對(duì)信息系統(tǒng)可用性的潛在影響。

a）通過(guò)以下步驟管理鑒別憑證：

4）針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回，

每?jī)稍品?/p>

建立和實(shí)施管理規(guī)程。證據(jù)

年務(wù)商

6）明確鑒別憑證的最小和最大生存時(shí)間限制以及

再用條件。

鑒別a）通過(guò)以下步驟管理鑒別憑證：

一般

憑證7）對(duì)[賦值：云服務(wù)商定義的鑒別憑證]，強(qiáng)制要7.5

要求

管理求在[賦值：云服務(wù)商定義的時(shí)間段]之后更新鑒別

憑證。每季云服

證據(jù)

b）對(duì)于基于口令的鑒別：度務(wù)商

4）強(qiáng)制執(zhí)行最小和最大生存時(shí)間限制，以滿(mǎn)足[賦

值：云服務(wù)商定義的最小生存時(shí)間和最大生存時(shí)

訪(fǎng)問(wèn)間]。

控制一般i）按照[賦值：云服務(wù)商定義的頻率]，檢查賬號(hào)是云服

每年證據(jù)

要求否符合賬號(hào)管理的要求。務(wù)商

賬號(hào)b）在[賦值：云服務(wù)商定義的時(shí)間段]后自動(dòng)[選項(xiàng)：

7.8

管理增強(qiáng)刪除；禁用]臨時(shí)和應(yīng)急賬號(hào)。每季云服

證據(jù)

要求c）在[賦值：云服務(wù)商定義的時(shí)間段]后自動(dòng)關(guān)閉度務(wù)商

非活躍賬號(hào)。

無(wú)線(xiàn)一般云服

實(shí)時(shí)證據(jù)7.20

訪(fǎng)問(wèn)要求云服務(wù)商應(yīng)禁用無(wú)線(xiàn)網(wǎng)絡(luò)直接訪(fǎng)問(wèn)云計(jì)算平臺(tái)。務(wù)商

可供

公共

一般每季云服

訪(fǎng)問(wèn)d）按照[賦值：云服務(wù)商定義的頻率]審查公開(kāi)發(fā)證據(jù)7.23

要求度務(wù)商

的內(nèi)布的信息中是否含有非公開(kāi)信息，一經(jīng)發(fā)現(xiàn)，立

容即刪除。

12

GB/TXXXXX—XXXX

a）制定并實(shí)施云計(jì)算平臺(tái)的配置管理計(jì)劃。

b）在配置管理計(jì)劃中，規(guī)定配置管理相關(guān)人員的

角色和職責(zé)，并詳細(xì)規(guī)定配置管理的流程。

配置

增強(qiáng)c）在系統(tǒng)生命周期內(nèi)，建立配置項(xiàng)標(biāo)識(shí)和管理流云服

管理每年證據(jù)8.2

要求程。務(wù)商

計(jì)劃

d）定義信息系統(tǒng)的配置項(xiàng)并將其納入配置管理計(jì)

劃。

e）保護(hù)配置管理計(jì)劃，以防非授權(quán)的泄露和變更。

d）審查所提交的信息系統(tǒng)受控配置的變更事項(xiàng)，

根據(jù)安全影響分析結(jié)果進(jìn)行批準(zhǔn)或否決，并記錄

變更一般云服

變更決定。每年證據(jù)8.4

控制要求e）保留信息系統(tǒng)中受控配置的變更記錄。務(wù)商

f）按照[賦值：云服務(wù)商定義的頻率]對(duì)與系統(tǒng)受

控配置的變更有關(guān)的活動(dòng)進(jìn)行審查。

a）按照[賦值：云服務(wù)商定義的頻率]，對(duì)信息系

統(tǒng)進(jìn)行審查，以標(biāo)識(shí)不必要或不安全的功能、端

口、協(xié)議或服務(wù)。

b）關(guān)閉[賦值：云服務(wù)商定義的不必要或不安全

配置的功能、端口、協(xié)議和服務(wù)]。

最小

管理增強(qiáng)c）信息系統(tǒng)應(yīng)按照[選擇：[賦值：云服務(wù)商定義云服

功能每月證據(jù)8.6

要求的軟件使用與限制策略]；對(duì)軟件使用的授權(quán)規(guī)務(wù)商

原則

則]，禁止運(yùn)行相關(guān)程序。

d）按照白名單策略，確定[賦值：云服務(wù)商定義

的在云計(jì)算平臺(tái)上允許運(yùn)行的軟件]，禁止非授權(quán)

軟件在云計(jì)算平臺(tái)上運(yùn)行，并按照[賦值：云服務(wù)

商定義的頻率]，審查和更新授權(quán)軟件列表。

a）制定和維護(hù)信息系統(tǒng)組件清單，該清單應(yīng)滿(mǎn)足

下列要求：

1）能準(zhǔn)確反映當(dāng)前信息系統(tǒng)的情況。

2）與信息系統(tǒng)邊界一致。

一般云服

信息3）達(dá)到信息安全管理所必要的顆粒度。每年證據(jù)

要求務(wù)商

系統(tǒng)4）包含[賦值：云服務(wù)商定義的為實(shí)現(xiàn)有效的資產(chǎn)

8.7

組件追責(zé)所必要的信息]。

清單b）按照[賦值：云服務(wù)商定義的頻率]，審查并更

新信息系統(tǒng)組件清單。

a）按照[賦值：云服務(wù)商定義的頻率]，使用自動(dòng)

增強(qiáng)云服

機(jī)制檢測(cè)云計(jì)算服務(wù)平臺(tái)中新增的非授權(quán)軟件、實(shí)時(shí)證據(jù)

要求務(wù)商

硬件或固件組件。

f）對(duì)所有遠(yuǎn)程維護(hù)和診斷活動(dòng)進(jìn)行審計(jì)，按照[賦

遠(yuǎn)程一般云服

維護(hù)值：云服務(wù)商定義的頻率]對(duì)所有遠(yuǎn)程維護(hù)和診斷每年證據(jù)9.4

維護(hù)要求務(wù)商

會(huì)話(huà)的記錄進(jìn)行審查。

13

GB/TXXXXX—XXXX

維護(hù)一般a）建立對(duì)維護(hù)人員的授權(quán)流程，對(duì)已獲授權(quán)的維云服

每年證據(jù)9.5

人員要求護(hù)組織或人員建立列表。務(wù)商

a）標(biāo)識(shí)、報(bào)告和修復(fù)云計(jì)算平臺(tái)的缺陷。

一般云服

b）在與安全相關(guān)的軟件和固件升級(jí)包發(fā)布后，及每月證據(jù)

缺陷要求務(wù)商

時(shí)安裝升級(jí)包。9.7

修復(fù)

增強(qiáng)云服務(wù)商應(yīng)使用自動(dòng)檢測(cè)機(jī)制，按照[賦值：云服云服

每月證據(jù)

要求務(wù)商定義的頻率]對(duì)缺陷修復(fù)后的組件進(jìn)行檢測(cè)。務(wù)商

安全

一般云服

功能a）驗(yàn)證[賦值：云服務(wù)商定義的安全功能]是否正每月證據(jù)9.8

要求務(wù)商

驗(yàn)證常運(yùn)行。

軟件、

固件、

增強(qiáng)云服

信息a）按照[賦值：云服務(wù)商定義的頻率]對(duì)云計(jì)算平每月證據(jù)9.9

要求務(wù)商

完整臺(tái)進(jìn)行完整性?huà)呙?，并重新評(píng)估軟件、固件和信

性息的完整性。

a）制定信息系統(tǒng)的事件處理計(jì)劃，該計(jì)劃應(yīng)：

1）說(shuō)明啟動(dòng)事件處理計(jì)劃的條件和方法。

2）說(shuō)明事件處理能力的組織結(jié)構(gòu)。

3）定義需要報(bào)告的安全事件。

4）提供組織內(nèi)事件處理能力的度量目標(biāo)。

5）定義必要的資源和管理支持，以維護(hù)和增強(qiáng)事

件處理能力。

事件

一般6）由[賦值：云服務(wù)商定義的人員或角色]審查和云服

處理每年證據(jù)10.2

要求批準(zhǔn)。務(wù)商

計(jì)劃b）向[賦值：云服務(wù)商定義的人員、角色或部門(mén)]，

發(fā)布事件處理計(jì)劃。

應(yīng)急c）按照[賦值：云服務(wù)商定義的頻率]，審查事件

響應(yīng)響應(yīng)計(jì)劃。

與災(zāi)d）如系統(tǒng)發(fā)生變更或事件響應(yīng)計(jì)劃在實(shí)施、執(zhí)行

備或測(cè)試中遇到問(wèn)題，及時(shí)修改事件處理計(jì)劃并通

報(bào)[賦值：云服務(wù)商定義的人員、角色或部門(mén)]。

e）防止事件處理計(jì)劃非授權(quán)泄露和更改。

事件一般c）將當(dāng)前事件處理活動(dòng)的經(jīng)驗(yàn)，納入事件處理、云服

每年證據(jù)10.3

處理要求培訓(xùn)及演練計(jì)劃，并實(shí)施相應(yīng)的變更。務(wù)商

a）根據(jù)應(yīng)急響應(yīng)計(jì)劃，監(jiān)控和報(bào)告安全事件。云服

實(shí)時(shí)證據(jù)

b）當(dāng)發(fā)現(xiàn)可疑的安全事件時(shí)，在[賦值：云服務(wù)務(wù)商

商定義的時(shí)間段]內(nèi)，向本組織的事件處理部門(mén)報(bào)

事件一般

告。10.4

報(bào)告要求根據(jù)云服

c）建立事件報(bào)告渠道，當(dāng)發(fā)生影響較大的安全事報(bào)告

需要?jiǎng)?wù)商

件時(shí)，向國(guó)家和地方應(yīng)急響應(yīng)組織及有關(guān)信息安

全主管部門(mén)報(bào)告。

14

GB/TXXXXX—XXXX

c）按照[賦值：云服務(wù)商定義的頻率]更新應(yīng)急響云服

每年證據(jù)

應(yīng)計(jì)劃。務(wù)商

應(yīng)急

一般d）如系統(tǒng)發(fā)生變更或應(yīng)急響應(yīng)計(jì)劃在實(shí)施、執(zhí)行

響應(yīng)10.8

要求或測(cè)試中遇到問(wèn)題，及時(shí)修改應(yīng)急響應(yīng)計(jì)劃并向根據(jù)云服

計(jì)劃證據(jù)

[賦值：云服務(wù)商定義的人員、角色或部門(mén)]及客戶(hù)需要?jiǎng)?wù)商

進(jìn)行通報(bào)。

a）向[賦值：云服務(wù)商定義的人員或角色]提供應(yīng)

應(yīng)急一般急響應(yīng)培訓(xùn)。云服

每年證據(jù)10.9

培訓(xùn)要求b）當(dāng)信息系統(tǒng)變更時(shí)，或按照[賦值：云服務(wù)商務(wù)商

定義的頻率]，重新開(kāi)展培訓(xùn)。

a）至少每年制定或修訂應(yīng)急演練計(jì)劃，并與客戶(hù)

充分協(xié)商，聽(tīng)取客戶(hù)意見(jiàn)。

應(yīng)急一般云服

b）按照[賦值：云服務(wù)商定義的頻率]，執(zhí)行應(yīng)急每年證據(jù)10.10

演練要求