还剩2页未读,继续阅读
文本内容:
2014年12月,本标准获全国信息安全标准化技术委员会国标立项2成立标准编制组,广泛调研2015年1月至2015年2月,标准编制组成立,广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准,为本标准的编制奠定基础期间,研究的云计算安全相关标准和安全评估相关标准包括1美国联邦系统安全控制的建议NIST800-53;2美国联邦系统安全控制措施评估指南NISTSP800-53A;3NIST SP800-53A测试用例;4美国联邦风险及授权管理项目FedRAMP测试用例;5信息安全等级保护测评国家标准;6《信息技术安全技术信息安全管理实用规则》、《信息安全技术信息安全风险评估规范》、《信息技术安全技术信息技术安全评估准则》、《信息安全技术信息安全服务能力评估准则》等国家标准3标准编制组形成标准草案2015年3月至2015年5月,标准编制组3月在北京召开标准启动会,讨论了标准编制的思路,以及本次国家标准与全国信安标委秘书处组织的标准试点中试用的云计算服务安全审查测评规程的关系5月,标准编制组形成标准草案,发标准编制组内部征求意见期间,标准编制组部分起草单位参与中央网信办网络安全协调局和国家网络安全审查办公室组织的云计算服务安全能力评价方法等相关文件的编制6月,标准编制组召开工作会议,处理编制组对草案的反馈意见,并接受全国信安标委秘书处中期检查,听取专家对该项目的意见7月,标准编制组集中封闭3天,根据专家的意见修改了标准草案7月30日,秘书处在北京召开了标准评审会,编制组根据与会专家的意见进一步完善了标准草案4标准在云服务网络安全审查中试用2015年8月至2015年9月,国家信息技术安全研究中心、中国信息安全测评中心、中国电子技术标准化研究院赛西实验室分别对成都曙光云计算中心、华为襄阳政务云云服务和阿里云电子政务云服务进行了云服务网络安全审查,在审查过程中对标准草案进行了试用,并提出了修改意见,标准编制组根据试用意见进行了修改完善,征求并处理了国家网络安全审查办公室对修改后标准草案的意见52015年11月,召开专家评审会,会后形成征求意见稿2015年11月24日,全国信安标委秘书处在北京组织召开了专家评审会,与会专家针对标准的定位、标准中的测试项以及对服务安全能力的评价提出了意见,标准编制组按照与会专家意见进行了修改,形成征求意见稿62016年6月,调整到大数据安全特别工作组,并组内征求意见2016年4月,全国信安标委大数据安全特别工作组成立,该标准调整到大数据安全特别工作组,并在组内征求意见标准编制组根据反馈意见对征求意见稿进行了修改完善,并在第一次会议周进行了讨论二编制原则和主要内容
2.1编制原则一是充分吸收已有云安全相关标准《评估方法》充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范目前,《评估方法》已将美国FedrRAMP云安全测试用例、NIST800-53A.ISO/IEC27017>等级保护测评等相关标准的长处进行了吸收,充分考虑了相关的测试评估方法二是重点关注安全评估方法,不涉及安全评价《评估方法》是在已发布国标《信息安全技术云计算服务安全能力要求》基础上制定的,而《能力要求》标准是我国加强党政部门云计算服务网络安全管理的重要依据,在实施过程中需要《评估方法》进行配合对云计算服务安全能力的评价涉及到多种因素,情况比较复杂,本标准只关注安全评估方法,对于云计算服务安全能力的水平如何不做评价
2.2主要内容本标准规定了对以社会化方式为特定客户提供云计算服务的云服务商安全能力进行评估的方法本标准适用于第三方评估机构对云服务安全能力进行评估,也可指导云服务商建设安全的云计算平台和提供安全的云计算服务本标准主要根据《信息安全技术云计算服务安全能力要求》制定相关评估方法,为第三方测评机构开展云计算服务安全能力评估提供指导,标准规定第三方测评机构可采用访谈、检查、测试等多种方式,制定相应安全评估方案,实施安全评估,标准从系统开发和供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应和灾备、审计、风险评估和持续监控、安全组织与人员、物理与环境安全等方面对原标准的各个条款提出评估方法
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果编制组已请中国信息安全测评中心、国家信息技术安全研究中心、中国赛西实验室等第三方测评机构对《评估方法》进行了试用第三方测评机构根据标准草案要求,在成都、襄阳、北京等地为政府部门提供云服务部署的多个云计算中心进行了标准的试用,按照要求开展了安全评估,标准试用效果良好四采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点特别是,云计算安全标准及其背后的管理政策将会对产业造成重大影响,也将限制国外大型云计算服务提供商渗透到我国敏感部门和重要行业,这种情况下,我国提出了加强党政部门云计算服务网络安全管理是保障国家安全和社会公众利益的重要举措开展对云服务商所提供的云服务安全能力的评估,是落实对云计算服务安全管理的措施之一因此,编制组在标准编制过程中,专门分析了美国FedRAMP对云服务商的安全评估方法和NISTSP800-53A中的测试用例,参考我国已有相关信息安全标准,以及我国云计算服务安全管理的考虑,综合考虑制定了本标准五与有关的现行法律、法规和强制性国家标准的关系《评估方法》符合现有法律法规的要求符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国务院关于大力促进信息化发展和切实保障信息安全的若干意见》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等国家政策、法规、标准的要求现行发布两项云计算安全国家标准GB/T31167-2014《信息安全技术云计算服务安全指南》和GB/T31168-2014《信息安全技术云计算服务安全能力要求》《评估方法》符合GB/T31167国家标准的相关要求,是基于GB/T31168制定的配套评估标准
六、重大分歧意见的处理经过和依据《评估方法》编制过程中未出现重大分歧其他详见意见汇总处理表七国家标准作为强制性国家标准或推荐性国家标准的建议建议《评估方法》作为推荐性国家标准发布实施八贯彻国家标准的要求和措施建议(包括组织措施技术措施、过渡办法等内容)《评估方法》通过指导第三方机构对云服务商的云计算服务安全能力进行安全评估,为国家标准对云服务商提出具体的安全能力要求,为国家标准GB/T31168-2014《信息安全技术云计算服务安全能力要求》的有效、合理实施提供支持因此,本标准贯彻实施时,应与上述标准结合在一起进行
九、其他事项说明本标准不涉及专利国家标准《信息安全技术云计算服务安全能力评估方法》编制说明国家标准《信息安全技术云计算服务安全能力评估方法》编制说明国家标准《信息安全技术云计算服务安全能力评估方法》编制说明国家标准《信息安全技术云计算服务安全能力评估方法》编制说明。
个人认证
优秀文档
获得点赞 0
