標準解讀

《GB/T 34942-2017 信息安全技術(shù) 云計算服務安全能力評估方法》是一項國家標準,旨在為云計算服務提供一套系統(tǒng)性的安全能力評估框架。該標準適用于云服務提供商對其所提供服務的安全性進行自我評估,同時也可供第三方機構(gòu)對云服務的安全性進行獨立評價時參考。

根據(jù)此標準,評估內(nèi)容涵蓋了多個維度,包括但不限于:數(shù)據(jù)保護、身份與訪問管理、物理及環(huán)境安全、運營安全管理等。每一項評估指標都有明確的定義和要求,通過這些具體的要求來衡量云服務在不同方面的安全防護水平。

標準中還詳細規(guī)定了評估過程中的各個步驟,從準備階段到執(zhí)行階段再到報告編制階段的具體操作指南。例如,在準備階段需要確定評估范圍、選擇合適的評估工具和技術(shù);執(zhí)行階段則涉及到對各項安全控制措施的有效性進行測試和驗證;最后,在報告編制階段,則需基于前兩階段的工作成果形成正式的評估報告。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-11-01 頒布
  • 2018-05-01 實施
?正版授權(quán)
GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法_第1頁
GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法_第2頁
GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法_第3頁
GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法_第4頁
GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法_第5頁
已閱讀5頁,還剩123頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 34942-2017信息安全技術(shù)云計算服務安全能力評估方法-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T34942—2017

信息安全技術(shù)

云計算服務安全能力評估方法

Informationsecuritytechnology—Theassessmentmethodfor

securitycapabilityofcloudcomputingservice

2017-11-01發(fā)布2018-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34942—2017

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………2

評估原則

4.1……………2

評估內(nèi)容

4.2……………3

評估證據(jù)

4.3……………3

評估實施過程

4.4………………………3

系統(tǒng)開發(fā)與供應鏈安全評估方法

5………………………5

策略與規(guī)程

5.1…………………………5

資源分配

5.2……………6

系統(tǒng)生命周期

5.3………………………7

采購過程

5.4……………8

系統(tǒng)文檔

5.5……………9

安全工程原則

5.6………………………10

關(guān)鍵性分析

5.7…………………………10

外部信息系統(tǒng)服務及相關(guān)服務

5.8……………………11

開發(fā)商安全體系架構(gòu)

5.9………………12

開發(fā)過程標準和工具

5.10、……………13

開發(fā)商配置管理

5.11…………………15

開發(fā)商安全測試和評估

5.12…………17

開發(fā)商提供的培訓

5.13………………19

防篡改

5.14……………20

組件真實性

5.15………………………20

不被支持的系統(tǒng)組件

5.16……………21

供應鏈保護

5.17………………………22

系統(tǒng)與通信保護評估方法

6………………25

策略與規(guī)程

6.1…………………………25

邊界保護

6.2……………26

傳輸保密性和完整性

6.3………………28

網(wǎng)絡中斷

6.4……………29

可信路徑

6.5……………29

密碼使用和管理

6.6……………………30

協(xié)同計算設備

6.7………………………30

移動代碼

6.8……………30

GB/T34942—2017

會話認證

6.9……………31

移動設備的物理連接

6.10……………32

惡意代碼防護

6.11……………………32

內(nèi)存防護

6.12…………………………34

系統(tǒng)虛擬化安全性

6.13………………34

網(wǎng)絡虛擬化安全性

6.14………………37

存儲虛擬化安全性

6.15………………37

訪問控制評估方法

7………………………39

策略與規(guī)程

7.1…………………………39

用戶標識與鑒別

7.2……………………40

設備標識與鑒別

7.3……………………41

標識符管理

7.4…………………………41

鑒別憑證管理

7.5………………………42

鑒別憑證反饋

7.6………………………44

密碼模塊鑒別

7.7………………………44

賬號管理

7.8……………45

訪問控制的實施

7.9……………………46

信息流控制

7.10………………………47

最小特權(quán)

7.11…………………………48

未成功的登錄嘗試

7.12………………49

系統(tǒng)使用通知

7.13……………………50

前次訪問通知

7.14……………………50

并發(fā)會話控制

7.15……………………51

會話鎖定

7.16…………………………51

未進行標識和鑒別情況下可采取的行動

7.17………52

安全屬性

7.18…………………………52

遠程訪問

7.19…………………………53

無線訪問

7.20…………………………54

外部信息系統(tǒng)的使用

7.21……………54

信息共享

7.22…………………………55

可供公眾訪問的內(nèi)容

7.23……………56

數(shù)據(jù)挖掘保護

7.24……………………56

介質(zhì)訪問和使用

7.25…………………57

服務關(guān)閉和數(shù)據(jù)遷移

7.26……………58

配置管理評估方法

8………………………59

策略與規(guī)程

8.1…………………………59

配置管理計劃

8.2………………………59

基線配置

8.3……………60

變更控制

8.4……………61

配置參數(shù)的設置

8.5……………………63

最小功能原則

8.6………………………64

信息系統(tǒng)組件清單

8.7…………………65

GB/T34942—2017

維護評估方法

9……………67

策略與規(guī)程

9.1…………………………67

受控維護

9.2……………67

維護工具

9.3……………68

遠程維護

9.4……………69

維護人員

9.5……………70

及時維護

9.6……………71

缺陷修復

9.7……………71

安全功能驗證

9.8………………………72

軟件固件信息完整性

9.9、、……………73

應急響應與災備評估方法

10……………74

策略與規(guī)程

10.1………………………74

事件處理計劃

10.2……………………74

事件處理

10.3…………………………75

事件報告

10.4…………………………76

事件處理支持

10.5……………………77

安全警報

10.6…………………………78

錯誤處理

10.7…………………………78

應急響應計劃

10.8……………………79

應急培訓

10.9…………………………81

應急演練

10.10…………………………81

信息系統(tǒng)備份

10.11……………………82

支撐客戶的業(yè)務連續(xù)性計劃

10.12……………………84

電信服務

10.13…………………………84

審計評估方法

11…………………………85

策略與規(guī)程

11.1………………………85

可審計事件

11.2………………………86

審計記錄內(nèi)容

11.3……………………86

審計記錄存儲容量

11.4………………87

審計過程失敗時的響應

11.5…………87

審計的審查分析和報告

11.6、…………88

審計處理和報告生成

11.7……………89

時間戳

11.8……………90

審計信息保護

11.9……………………90

不可否認性

11.10………………………91

審計記錄留存

11.11……………………92

風險評估與持續(xù)監(jiān)控評估方法

12………………………92

策略與規(guī)程

12.1………………………92

風險評估

12.2…………………………93

脆弱性掃描

12.3………………………93

持續(xù)監(jiān)控

12.4…………………………95

信息系統(tǒng)監(jiān)測

12.5……………………96

GB/T34942—2017

垃圾信息監(jiān)測

12.6……………………98

安全組織與人員評估方法

13……………98

策略與規(guī)程

13.1………………………98

安全組織

13.2…………………………99

安全資源

13.3…………………………100

安全規(guī)章制度

13.4……………………100

崗位風險與職責

13.5…………………101

人員篩選

13.6…………………………101

人員離職

13.7…………………………102

人員調(diào)動

13.8…………………………103

訪問協(xié)議

13.9…………………………104

第三方人員安全

13.10………………104

人員處罰

13.11………………………105

安全培訓

13.12………………………106

物理與環(huán)境安全評估方法

14……………107

策略與規(guī)程

14.1………………………107

物理設施與設備選址

14.2……………107

物理和環(huán)境規(guī)劃

14.3…………………108

物理環(huán)境訪問授權(quán)

14.4………………109

物理環(huán)境訪問控制

14.5………………110

通信能力防護

14.6……………………112

輸出設備訪問控制

14.7………………112

物理訪問監(jiān)控

14.8……………………113

訪客訪問記錄

14.9……………………114

電力設備和電纜安全保障

14.10……………………114

應急照明能力

14.11…………………115

消防能力

14.12………………………116

溫濕度控制能力

14.13………………117

防水能力

14.14………………………118

設備運送和移除

14.15………………118

參考文獻

……………………119

GB/T34942—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院國家信息技術(shù)安全研究中心中國信息安全測評中

:、、

心中國電子科技集團第研究所中國信息安全研究院有限公司上海市信息安全測評認證中心中

、30、、、

國信息安全認證中心中電長城網(wǎng)際系統(tǒng)應用有限公司四川大學華東師范大學國家信息中心神州

、、、、、

網(wǎng)信技術(shù)有限公司浪潮北京電子信息有限公司華為技術(shù)有限公司阿里云計算有限公司深圳賽西

、()、、、

信息技術(shù)有限公司北京工業(yè)大學中標軟件有限公司西安未來國際信息股份有限公司中金數(shù)據(jù)系統(tǒng)

、、、、

有限公司北京軟件產(chǎn)品質(zhì)量檢測檢驗中心重慶郵電大學成都信息工程大學北京郵電大學西安電

、、、、、

子科技大學桂林電子科技大學河南科技大學北京航空航天大學中國傳媒大學

、、、、。

本標準主要起草人高林王惠蒞李京春何延哲任望梁露露劉賢剛范科峰上官曉麗楊晨

:、、、、、、、、、、

都婧張玲王強徐御周民徐云陳曉樺吳迪閔京華馬文平何道敬趙丹丹劉俊河梁滿劉虹

、、、、、、、、、、、、、、、

趙江黃敏陳雪秀徐寧崔玲萬國根陳曉峰楊力裴慶祺唐一鴻蔡磊葉潤國伍前紅黃永洪

、、、、、、、、、、、、、、

楊震李剛陳小松王勇張志勇毛劍姜正濤

、、、、、、。

GB/T34942—2017

引言

信息安全技術(shù)云計算服務安全能力要求對云服務商提出了基本安全能力

GB/T31168—2014《》

要求反映了云服務商在保障云計算環(huán)境中客戶信息和業(yè)務的安全時應具備的基本能力

,。

將云計算服務安全能力要求分為一般要求和增強要求增強要求是對一般要求的

GB/T31168—2014,

補充和強化在實現(xiàn)增強要求時一般要求應首先得到滿足有的安全要求只列出了增強要求一般要

。,。,

求標為無這表明具有一般安全能力的云服務商可以不實現(xiàn)此項安全要求在具體的應用場景下

“”。。,

云服務商也可采用刪減補充替代等多種方式對安全要求進行調(diào)整

、、。

本標準是的配套標準對應于的第章第章規(guī)定的

GB/T31168—2014,GB/T31168—20145~14

要求本標準也從第章第章給出了相應的評估方法本標準主要為第三方評估機構(gòu)開展云計算

,5~14。

服務安全能力評估提供指導第三方評估機構(gòu)可采用訪談檢查測試等多種方式制定相應安全評估

。、、,

方案并實施安全評估

,。

GB/T34942—2017

信息安全技術(shù)

云計算服務安全能力評估方法

1范圍

本標準規(guī)定了依據(jù)信息安全技術(shù)云計算服務安全能力要求開展評估的

GB/T31168—2014《

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論