犐犆犛３５．０４０ 犔８０ 中 华 人 民 共 和 国 国 家 标 准 犌犅／犜３７９７２—２０１９ 信息安全技术 云计算服务运行监管框架 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犗狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀犳狉犪犿犲狑狅狉犽狅犳 犮犾狅狌犱犮狅犿狆狌狋犻狀犵狊犲狉狏犻犮犲 ２０１９０８３０ 发布 ２０２００３０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布 犌犅／犜３７９７２—２０１９ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 云计算服务运行监管目的及框架 ……………………………………………………………………… １ 　４．１　 运行监管目的 ……………………………………………………………………………………… １ 　４．２　 运行监管框架 ……………………………………………………………………………………… １ 　４．３　 运行监管的角色及责任 …………………………………………………………………………… ２ ５　 安全控制措施监管 ……………………………………………………………………………………… ３ 　５．１　 安全控制措施内容 ………………………………………………………………………………… ３ 　５．２　 安全控制措施监管环节 …………………………………………………………………………… ３ ６　 变更管理监管 …………………………………………………………………………………………… ３ 　６．１　 变更管理内容 ……………………………………………………………………………………… ３ 　６．２　 变更管理监管环节 ………………………………………………………………………………… ４ ７　 应急响应监管 …………………………………………………………………………………………… ４ 　７．１　 应急响应内容 ……………………………………………………………………………………… ４ 　７．２　 应急响应监管环节 ………………………………………………………………………………… ４ ８　 云计算服务运行监管的实现方式 ……………………………………………………………………… ４ 　８．１　 概述 ………………………………………………………………………………………………… ４ 　８．２　 人工机制 …………………………………………………………………………………………… ４ 　８．３　 自动机制 …………………………………………………………………………………………… ５ 附录 Ａ （资料性附录）　 运行监管交付件模版 …………………………………………………………… ６ 附录 Ｂ （资料性附录）　 安全控制措施运行监管列表 …………………………………………………… １０ 参考文献 …………………………………………………………………………………………………… １８ 犌犅／犜３７９７２—２０１９ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：四川大学 、中国电子技术标准化研究院 、北京安信天行技术有限公司 、北京信息安 全测评中心 、华为技术有限公司 、阿里云计算有限公司 、腾讯云计算有限公司 、中国移动通信有限公司研 究院 、广州赛宝认证中心服务有限公司 、西安未来国际信息股份有限公司 、陕西省信息化工程研究院 、中 国电子科技网络信息安全有限公司 。 本标准主要起草人 ：陈兴蜀 、罗永刚 、李想 、刘小茵 、上官晓丽 、钟金鑫 、赵章界 、葛龙 、王伟 、王永霞 、 张磊 、沈锡庸 、杨思磊 、葛小宇 、王惠莅 、白杨 、王启旭 、胡影 。 Ⅰ 犌犅／犜３７９７２—２０１９ 引 　　 言 　　 随着云计算技术的蓬勃发展 ，政府部门及重点行业等对采用云计算服务有了大量需求 ，为确保云服 务客户安全地使用云计算服务 ，确保云服务商的安全能力符合国家相关标准要求 ，确保云计算服务各相 关方能够实时 、有效地掌握云计算服务的运行质量和安全状态 ，制定云计算服务运行监管框架 。 本标准以 ＧＢ／Ｔ３１１６７—２０１４《信息安全技术 　 云计算服务安全指南》为依据，以 ＧＢ／Ｔ３１１６８—２０１４ 《信息安全技术　云计算服务安全能力要求》为要求，规范了政府部门云服务客户在使用云计算服务的过 程中 ，云服务商 、运行监管方的相关责任及监管内容 ，提出了运行监管框架 、过程及方式 。 同时 ，本标准 为云服务商支撑云计算服务运行监管活动提供指导 ，为运行监管方开展运行监管提供指导 。 Ⅱ 犌犅／犜３７９７２—２０１９ 信息安全技术 云计算服务运行监管框架 １　 范围 本标准确定了云计算服务运行监管框架 ，规定了安全控制措施监管 、变更管理监管和应急响应监管 的内容及监管活动 ，给出运行监管实现方式的建议 。 本标准适用于对政府部门使用的云计算服务进行运行监管 ，也可供重点行业和其他企事业单位使 用云计算服务时参考 。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ３１１６７—２０１４　 信息安全技术 　 云计算服务安全指南 ＧＢ／Ｔ３１１６８—２０１４　 信息安全技术 　 云计算服务安全能力要求 ３　 术语和定义 ＧＢ／Ｔ３１１６７—２０１４ 界定的以及下列术语和定义适用于本文件 。 ３．１ 运行监管方 　狅狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀狅狉犵犪狀犻狕犪狋犻狅狀 独立于云计算服务相关方 ，且具有专业技术能力 ，开展运行监管的机构 。 ４　 云计算服务运行监管目的及框架 ４．１　 运行监管目的 开展云计算服务运行监管的目的是保障 ： ａ）　 云计算服务持续满足国家相关法律法规 、行政命令 、政策和标准 ； ｂ）　云计算服务相关方能够及时 、有效地掌握云计算平台的运行质量和安全状态 ； ｃ）　 云计算服务的安全风险可控 ； ｄ）　云计算服务的安全能力持续满足要求 。 从而确保 ＧＢ／Ｔ３１１６７—２０１４ 中 ８．１ 提出的运行监管主要目标 。 ４．２　 运行监管框架 云计算服务运行监管框架是基于国家标准 ＧＢ／Ｔ３１１６７—２０１４ 和 ＧＢ／Ｔ３１１６８—２０１４ 中的运行监 管要求而提出的 。 云计算服务运行监管框架如图 １ 所示 。 １ 犌犅／犜３７９７２—２０１９ 图 １　 运行监管框架 　　 云服务商应对云计算服务实施安全控制 、变更管理及应急响应等方面的管理和技术措施 ，并为运行 监管方提供已实施相关管理和技术措施的支撑材料 ，形成交付件 （对监管活动起到佐证作用的任何实 体 ，包括但不限于各种文档 、图片 、录音 、录像 、实物 、数据等 ，并以纸质 、电子等形式有效保存 ），附录 Ａ 给出了运行监管交付件参考模版 ，附录 Ｂ 给出了安全控制措施运行监管列表 。 运行监管方对云服务商的交付件进行分析审核 、评估验证等监管活动 ，形成监管结果告知云计算服 务相关方 ，必要时应根据监管结果给出合理的意见和建议 。 ４．３　 运行监管的角色及责任 ４．３．１　 运行监管角色 运行监管框架包含两个主要角色 ： ａ）　 云服务商 。 通过国家网络安全审查并为政府部门提供服务的云服务商 。 ｂ）　运行监管方 。 云服务客户的管理部门（例如 ：政府信息安全管理部门 、云服务客户的主管部门 等）指定或委托的运行监管方 。 ４．３．２　 云服务商的责任 云服务商应确保 ： ａ）　 云计算平台中的安全控制措施持续有效 ； ｂ）　云计算平台中的重大变更风险可控 ； ｃ）　 云计算平台中的应急响应及时充分 ； ｄ）　向运行监管方按约定的内容 、形式 、频率 、人工或自动机制等提交运行监管所需交付件 ，并确保 交付件真实可靠 ； ） 。 根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改 ｅ　 从而履行 ＧＢ／Ｔ３１１６７—２０１４ 中 ８．２．３ 规定的云服务商在运行监管中的责任 。 ４．３．３　 运行监管方的责任 运行监管方应 ： ａ）　 对云计算服务的安全控制措施 、重大变更和应急响应等进行运行监管 ； ｂ）　与云服务商协商运行监管接口 ，即交付件的内容 、形式 、频率和人工或自动机制等 ； ｃ）　 确保云服务商提交的交付件安全 ，不得将交付件 、涉及云服务商的知识产权和商业秘密的材料 提供给第三方 ； ｄ）　对云服务商提交的交付件进行分析及审核 ； ｅ）　 根据分析 、审核结果对云计算服务的安全能力进行评估 ，必要时应以抽查 、核查及测试等方式 对交付件中的内容进行验证 ； ２ 犌犅／犜３７９７２—２０１９ ｆ）　 根据评估验证结论 ，形成评估报告并告知云计算服务相关方 ，必要时应给出整改意见和建议 。 从而帮助云服务客户履行 ＧＢ／Ｔ３１１６７—２０１４ 中 ８．２．２ 规定的客户在运行监管活动中的责任 。 ５　 安全控制措施监管 ５．１　 安全控制措施内容 安全控制措施涉及的主要内容包括但不限于 ： ａ）　 系统开发与供应链安全 ； ｂ）　系统与通信保护 ； ｃ）　 访问控制 ； ｄ）　配置管理 ； ｅ）　 维护 ； ｆ）　 应急响应与灾备 ； ｇ）　审计 ； ｈ）　风险评估与持续监控 ； ｉ）　 安全组织与人员 ； ｊ）　 物理与环境安全 。 ５．２　 安全控制措施监管环节 安全控制措施的监管环节包括 ： ａ）　 运行监管方制定安全控制监管策略与计划 ，明确监管目的与要求 、监管方法与手段 ，细化安全 控制措施的监管内容 、交付件类型 、格式及频率等 ； ｂ）　云服务商根据运行监管方制定的安全控制措施监管策略与计划 ，对云计算平台的安全状态实 施持续监控 ，提交有关安全控制措施有效性的相关交付件 ； ｃ）　 运行监管方根据云服务商提交的交付件 ，对云计算平台的安全控制措施进行分析 、审核 ，必要 时 ，应对安全控制措施的有效性进行评估 ，并将结果告