標(biāo)準(zhǔn)解讀

《GB/T 31167-2023 信息安全技術(shù) 云計(jì)算服務(wù)安全指南》相較于2014版,主要在以下幾個(gè)方面進(jìn)行了更新與調(diào)整:

首先,在結(jié)構(gòu)上,《GB/T 31167-2023》對(duì)標(biāo)準(zhǔn)的內(nèi)容框架進(jìn)行了優(yōu)化重組,使得整個(gè)文檔更加符合當(dāng)前云計(jì)算領(lǐng)域的發(fā)展趨勢(shì)和技術(shù)特點(diǎn)。新版標(biāo)準(zhǔn)更加強(qiáng)調(diào)了云服務(wù)生命周期管理的重要性,并圍繞這一核心理念構(gòu)建了更為系統(tǒng)化的指導(dǎo)原則。

其次,在內(nèi)容層面,《GB/T 31167-2023》增加了對(duì)于新興技術(shù)如容器、微服務(wù)等的支持與考慮,反映了近年來(lái)云計(jì)算技術(shù)快速發(fā)展的現(xiàn)狀。同時(shí),針對(duì)數(shù)據(jù)保護(hù)、隱私權(quán)等方面也提出了更為嚴(yán)格的要求,以應(yīng)對(duì)日益嚴(yán)峻的信息安全挑戰(zhàn)。

此外,《GB/T 31167-2023》還特別強(qiáng)調(diào)了風(fēng)險(xiǎn)管理在整個(gè)云計(jì)算服務(wù)過(guò)程中的作用,不僅限于技術(shù)層面的安全措施,還包括組織架構(gòu)、人員培訓(xùn)等多個(gè)維度的綜合考量。這表明新版本更加注重從全局視角出發(fā)來(lái)保障云環(huán)境下的信息安全。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實(shí)施
?正版授權(quán)
GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南_第1頁(yè)
GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南_第2頁(yè)
GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南_第3頁(yè)
GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南_第4頁(yè)
GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南_第5頁(yè)
已閱讀5頁(yè),還剩27頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31167-2023信息安全技術(shù)云計(jì)算服務(wù)安全指南-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31167—2023

代替GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全指南

Informationsecuritytechnology—Securityguidanceforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31167—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

云計(jì)算服務(wù)安全管理

5……………………3

概述

5.1…………………3

采用云計(jì)算服務(wù)的安全管理責(zé)任

5.2…………………3

云計(jì)算服務(wù)安全管理基本原則

5.3……………………4

云計(jì)算服務(wù)生命周期安全管理

5.4……………………4

規(guī)劃準(zhǔn)備

6…………………5

概述

6.1…………………5

數(shù)據(jù)分類(lèi)

6.2……………5

業(yè)務(wù)分類(lèi)

6.3……………5

安全能力級(jí)別

6.4………………………6

需求分析

6.5……………7

形成決策報(bào)告

6.6………………………10

選擇云服務(wù)商與部署

7……………………10

云服務(wù)商安全能力要求

7.1……………10

選擇云服務(wù)商

7.2………………………10

合同中的安全考慮

7.3…………………11

部署

7.4…………………12

運(yùn)行監(jiān)管

8…………………13

概述

8.1…………………13

云服務(wù)商和客戶(hù)運(yùn)行監(jiān)管的角色與責(zé)任

8.2…………13

客戶(hù)自身的運(yùn)行監(jiān)管

8.3………………14

對(duì)云服務(wù)商的運(yùn)行監(jiān)管

8.4……………15

退出服務(wù)

9…………………16

退出要求

9.1……………16

確定數(shù)據(jù)移交范圍

9.2…………………16

驗(yàn)證數(shù)據(jù)的完整性

9.3…………………17

安全刪除數(shù)據(jù)

9.4………………………17

附錄資料性安全責(zé)任劃分示例

A()……………………18

附錄資料性云計(jì)算安全風(fēng)險(xiǎn)

B()………………………21

參考文獻(xiàn)

……………………23

GB/T31167—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)云計(jì)算服務(wù)安全指南與相

GB/T31167—2014《》,GB/T31167—2014

比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

,,:

更改了適用范圍由政府部門(mén)更改為客戶(hù)見(jiàn)第章見(jiàn)年版的第章

———,“”“”(1,20141);

增加了對(duì)見(jiàn)第章見(jiàn)

———GB/T32400—2015(3)、GB/T36325—2018(7.3.3)、GB/T37972—2019

見(jiàn)的規(guī)范性引用

(8.1);

增加并更改了部分術(shù)語(yǔ)見(jiàn)第章年版的第章

———(3,20143);

增加了縮略語(yǔ)一章見(jiàn)第章

———“”(4);

刪除了云計(jì)算的概述見(jiàn)年版第章

———“”(20144);

增加了云能力類(lèi)型和云服務(wù)類(lèi)別的引用全文

———“”“”();

將年版中的云計(jì)算安全風(fēng)險(xiǎn)作為資料性附錄見(jiàn)附錄

———2014“5.2”(B);

將年版內(nèi)容作為角色及職責(zé)章節(jié)內(nèi)容并增加云服務(wù)安全提供商作為云

———20145.3“5.2.1”,“”

計(jì)算服務(wù)安全管理的新角色見(jiàn)

(5.2.1);

增加了安全責(zé)任劃分的指導(dǎo)和示例見(jiàn)和附錄

———“”(5.2.2A);

將審查更改為評(píng)估與相關(guān)文件統(tǒng)一名稱(chēng)全文

———“”“”,();

刪除了效益評(píng)估見(jiàn)年版的

———“”(20146.2);

更改了年版政府信息分類(lèi)的標(biāo)題和內(nèi)容見(jiàn)

———2014“6.3”(6.2);

刪除了敏感信息和公開(kāi)信息相關(guān)的技術(shù)內(nèi)容見(jiàn)年版的

———“”“”(20146.3.2、6.3.3);

將標(biāo)題政府業(yè)務(wù)分類(lèi)更改為業(yè)務(wù)分類(lèi)擴(kuò)大了業(yè)務(wù)范圍見(jiàn)見(jiàn)年版的

———“”“”,(6.3,20146.4);

更改了業(yè)務(wù)分類(lèi)中關(guān)鍵業(yè)務(wù)的條件見(jiàn)見(jiàn)年版的

———(6.3.4,20146.4.4);

刪除了優(yōu)先級(jí)確定的內(nèi)容見(jiàn)年版的

———“”(20146.5);

更改了安全保護(hù)要求提出了三級(jí)安全能力級(jí)別見(jiàn)見(jiàn)年版的

———,(6.4,20146.6);

更改了年版中的圖增加了關(guān)鍵業(yè)務(wù)類(lèi)型和高級(jí)安全能力見(jiàn)圖

———20143,(2);

刪除了概述見(jiàn)年版的

———“6.7.1”(20146.7.1);

更改了年版中服務(wù)模式標(biāo)題及內(nèi)容由服務(wù)模式劃分控制范圍更改為通過(guò)能力

———2014“6.7.2”,

類(lèi)型劃分控制范圍見(jiàn)

(6.5.1);

更改了年版中的圖將服務(wù)模式改為基本云服務(wù)能力類(lèi)型見(jiàn)圖

———20144,(3);

增加了指導(dǎo)客戶(hù)在遷移時(shí)對(duì)業(yè)務(wù)系統(tǒng)集成需求的考慮見(jiàn)見(jiàn)年版的

———(6.5.7,20146.7.8);

更改了年版數(shù)據(jù)的存儲(chǔ)位置的技術(shù)內(nèi)容見(jiàn)

———2014“6.7.9”(6.5.8);

更改了云服務(wù)商安全能力要求的內(nèi)容具體要求參見(jiàn)見(jiàn)見(jiàn)

———“7.1”,GB/T31168—2023(7.1,

年版的

20147.1);

刪除了年版中的至章節(jié)見(jiàn)年版

———20147.1.17.1.10(20147.1.1~7.1.10);

將年版本中的內(nèi)容合并至見(jiàn)見(jiàn)年版的

———20147.2.27.2(7.2,20147.2);

增加了服務(wù)水平協(xié)議的相關(guān)文件引用見(jiàn)見(jiàn)年版的

———(7.3.3,20147.3.3);

更改了概述的內(nèi)容引入為云服務(wù)商和運(yùn)行監(jiān)管方開(kāi)展云計(jì)算服務(wù)

———“8.1”,GB/T37972—2019

運(yùn)行監(jiān)管活動(dòng)提供指導(dǎo)見(jiàn)見(jiàn)年版的

(8.1,20148.1);

更改了概述的內(nèi)容強(qiáng)調(diào)對(duì)云服務(wù)安全提供商的運(yùn)行監(jiān)管責(zé)任應(yīng)由引入方承擔(dān)見(jiàn)

———“8.2.1”,(

GB/T31167—2023

見(jiàn)年版的

8.2.1,20148.2.1);

增加了運(yùn)行監(jiān)管中客戶(hù)的相關(guān)責(zé)任見(jiàn)見(jiàn)年版的

———(8.2.2,20148.2.2);

增加了重大變更的類(lèi)型見(jiàn)見(jiàn)年版本的

———(8.4.3,20148.4.2);

增加了安全事件的類(lèi)型見(jiàn)見(jiàn)年版本的

———(8.4.4,20148.4.3);

增加了遷移原則一節(jié)用于指導(dǎo)客戶(hù)在遷移數(shù)據(jù)時(shí)宜要求云服務(wù)商遵循的原則見(jiàn)

———“”,(9.2.1);

將年版中確定移交范圍的內(nèi)容更改為移交范圍見(jiàn)

———2014“9.2”“9.2.2”(9.2.2);

刪除了安全刪除數(shù)據(jù)中條措施中的存放敏感信息的介質(zhì)清理后不能用于存放公

———“9.4”c)“3)

開(kāi)信息見(jiàn)年版的

”(20149.4);

將年版中的安全刪除數(shù)據(jù)中條措施中的腳注作為條措施中注見(jiàn)

———2014“9.4”c)c)(9.4)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位四川大學(xué)中國(guó)科學(xué)技術(shù)大學(xué)北京信息安全測(cè)評(píng)中心華為技術(shù)有限公司中國(guó)

:、、、、

電子技術(shù)標(biāo)準(zhǔn)化研究院北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司國(guó)家信息技術(shù)安全研究中心中國(guó)網(wǎng)絡(luò)安

、、、

全審查技術(shù)與認(rèn)證中心中國(guó)移動(dòng)通信集團(tuán)有限公司陜西省信息化工程研究院國(guó)家工業(yè)信息安全發(fā)

、、、

展研究中心浪潮云信息技術(shù)股份公司深信服科技股份有限公司中國(guó)信息安全測(cè)評(píng)中心北京杭州

、、、()、

安恒信息技術(shù)股份有限公司中國(guó)電子科技集團(tuán)公司第三十研究所華信咨詢(xún)?cè)O(shè)計(jì)研究院有限公司中

、、、

電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司成都蜀道易信科技有限公司新華三技術(shù)有限公司騰訊云計(jì)算北京

、、、()

有限責(zé)任公司

。

本文件主要起草人陳興蜀周亞超王啟旭閔京華楊苗苗羅永剛張建軍楊建軍左曉棟

:、、、、、、、、、

劉海峰張濱江為強(qiáng)李媛嚴(yán)敏瑞王龑王惠蒞張明天張勇盧夏伍揚(yáng)陳雪鴻史大為柳彩云

、、、、、、、、、、、、、、

張敏邱勤吳復(fù)偉張曉菲趙丹丹望婭露劉俊河章建聰陳靜萬(wàn)曉蘭馬洪軍張格董平于樂(lè)

、、、、、、、、、、、、、、

尹麗波趙章界朱毅邱云翔王永霞

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2014GB/T31167—2014;

本次為第一次修訂

———。

GB/T31167—2023

引言

本文件與信息安全技術(shù)云計(jì)算服務(wù)安全能力要求構(gòu)成了云計(jì)算服務(wù)安全

GB/T31168—2023《》

管理的基礎(chǔ)文件面向云服務(wù)商描述了為客戶(hù)提供云計(jì)算服務(wù)時(shí)應(yīng)具備的安全能

。GB/T31168—2023

力本文件面向客戶(hù)提出了采用云計(jì)算服務(wù)時(shí)的安全管理和技術(shù)措施

,。

本文件指導(dǎo)客戶(hù)做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃選擇合適的云服務(wù)商與部署模式對(duì)云計(jì)

,,

算服務(wù)進(jìn)行運(yùn)行監(jiān)管規(guī)避退出云計(jì)算服務(wù)或更換云服務(wù)商的安全風(fēng)險(xiǎn)本文件指導(dǎo)客戶(hù)在采用云計(jì)

,。

算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施保障數(shù)據(jù)和業(yè)務(wù)的安全安全地使用云計(jì)算服務(wù)

,,。

GB/T31167—2023

信息安全技術(shù)云計(jì)算服務(wù)安全指南

1范圍

本文件提出了客戶(hù)采用云計(jì)算服務(wù)的安全管理基本原則給出了采用云計(jì)算服務(wù)的生命周期各階

,

段的安全管理和技術(shù)措施提出了云計(jì)算服務(wù)安全管理原則和相關(guān)責(zé)任劃分

,。

本文件適用于指導(dǎo)客戶(hù)安全地采用云計(jì)算服務(wù)

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論