標(biāo)準(zhǔn)解讀

《GB/T 31167-2023 信息安全技術(shù) 云計算服務(wù)安全指南》相較于2014版,主要在以下幾個方面進(jìn)行了更新與調(diào)整:

首先,在結(jié)構(gòu)上,《GB/T 31167-2023》對標(biāo)準(zhǔn)的內(nèi)容框架進(jìn)行了優(yōu)化重組,使得整個文檔更加符合當(dāng)前云計算領(lǐng)域的發(fā)展趨勢和技術(shù)特點。新版標(biāo)準(zhǔn)更加強(qiáng)調(diào)了云服務(wù)生命周期管理的重要性,并圍繞這一核心理念構(gòu)建了更為系統(tǒng)化的指導(dǎo)原則。

其次,在內(nèi)容層面,《GB/T 31167-2023》增加了對于新興技術(shù)如容器、微服務(wù)等的支持與考慮,反映了近年來云計算技術(shù)快速發(fā)展的現(xiàn)狀。同時,針對數(shù)據(jù)保護(hù)、隱私權(quán)等方面也提出了更為嚴(yán)格的要求,以應(yīng)對日益嚴(yán)峻的信息安全挑戰(zhàn)。

此外,《GB/T 31167-2023》還特別強(qiáng)調(diào)了風(fēng)險管理在整個云計算服務(wù)過程中的作用,不僅限于技術(shù)層面的安全措施,還包括組織架構(gòu)、人員培訓(xùn)等多個維度的綜合考量。這表明新版本更加注重從全局視角出發(fā)來保障云環(huán)境下的信息安全。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實施
?正版授權(quán)
GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南_第1頁
GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南_第2頁
GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南_第3頁
GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南_第4頁
GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南_第5頁
已閱讀5頁,還剩27頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31167-2023信息安全技術(shù)云計算服務(wù)安全指南-免費(fèi)下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31167—2023

代替GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全指南

Informationsecuritytechnology—Securityguidanceforcloudcomputingservices

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T31167—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

云計算服務(wù)安全管理

5……………………3

概述

5.1…………………3

采用云計算服務(wù)的安全管理責(zé)任

5.2…………………3

云計算服務(wù)安全管理基本原則

5.3……………………4

云計算服務(wù)生命周期安全管理

5.4……………………4

規(guī)劃準(zhǔn)備

6…………………5

概述

6.1…………………5

數(shù)據(jù)分類

6.2……………5

業(yè)務(wù)分類

6.3……………5

安全能力級別

6.4………………………6

需求分析

6.5……………7

形成決策報告

6.6………………………10

選擇云服務(wù)商與部署

7……………………10

云服務(wù)商安全能力要求

7.1……………10

選擇云服務(wù)商

7.2………………………10

合同中的安全考慮

7.3…………………11

部署

7.4…………………12

運(yùn)行監(jiān)管

8…………………13

概述

8.1…………………13

云服務(wù)商和客戶運(yùn)行監(jiān)管的角色與責(zé)任

8.2…………13

客戶自身的運(yùn)行監(jiān)管

8.3………………14

對云服務(wù)商的運(yùn)行監(jiān)管

8.4……………15

退出服務(wù)

9…………………16

退出要求

9.1……………16

確定數(shù)據(jù)移交范圍

9.2…………………16

驗證數(shù)據(jù)的完整性

9.3…………………17

安全刪除數(shù)據(jù)

9.4………………………17

附錄資料性安全責(zé)任劃分示例

A()……………………18

附錄資料性云計算安全風(fēng)險

B()………………………21

參考文獻(xiàn)

……………………23

GB/T31167—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)云計算服務(wù)安全指南與相

GB/T31167—2014《》,GB/T31167—2014

比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

,,:

更改了適用范圍由政府部門更改為客戶見第章見年版的第章

———,“”“”(1,20141);

增加了對見第章見

———GB/T32400—2015(3)、GB/T36325—2018(7.3.3)、GB/T37972—2019

見的規(guī)范性引用

(8.1);

增加并更改了部分術(shù)語見第章年版的第章

———(3,20143);

增加了縮略語一章見第章

———“”(4);

刪除了云計算的概述見年版第章

———“”(20144);

增加了云能力類型和云服務(wù)類別的引用全文

———“”“”();

將年版中的云計算安全風(fēng)險作為資料性附錄見附錄

———2014“5.2”(B);

將年版內(nèi)容作為角色及職責(zé)章節(jié)內(nèi)容并增加云服務(wù)安全提供商作為云

———20145.3“5.2.1”,“”

計算服務(wù)安全管理的新角色見

(5.2.1);

增加了安全責(zé)任劃分的指導(dǎo)和示例見和附錄

———“”(5.2.2A);

將審查更改為評估與相關(guān)文件統(tǒng)一名稱全文

———“”“”,();

刪除了效益評估見年版的

———“”(20146.2);

更改了年版政府信息分類的標(biāo)題和內(nèi)容見

———2014“6.3”(6.2);

刪除了敏感信息和公開信息相關(guān)的技術(shù)內(nèi)容見年版的

———“”“”(20146.3.2、6.3.3);

將標(biāo)題政府業(yè)務(wù)分類更改為業(yè)務(wù)分類擴(kuò)大了業(yè)務(wù)范圍見見年版的

———“”“”,(6.3,20146.4);

更改了業(yè)務(wù)分類中關(guān)鍵業(yè)務(wù)的條件見見年版的

———(6.3.4,20146.4.4);

刪除了優(yōu)先級確定的內(nèi)容見年版的

———“”(20146.5);

更改了安全保護(hù)要求提出了三級安全能力級別見見年版的

———,(6.4,20146.6);

更改了年版中的圖增加了關(guān)鍵業(yè)務(wù)類型和高級安全能力見圖

———20143,(2);

刪除了概述見年版的

———“6.7.1”(20146.7.1);

更改了年版中服務(wù)模式標(biāo)題及內(nèi)容由服務(wù)模式劃分控制范圍更改為通過能力

———2014“6.7.2”,

類型劃分控制范圍見

(6.5.1);

更改了年版中的圖將服務(wù)模式改為基本云服務(wù)能力類型見圖

———20144,(3);

增加了指導(dǎo)客戶在遷移時對業(yè)務(wù)系統(tǒng)集成需求的考慮見見年版的

———(6.5.7,20146.7.8);

更改了年版數(shù)據(jù)的存儲位置的技術(shù)內(nèi)容見

———2014“6.7.9”(6.5.8);

更改了云服務(wù)商安全能力要求的內(nèi)容具體要求參見見見

———“7.1”,GB/T31168—2023(7.1,

年版的

20147.1);

刪除了年版中的至章節(jié)見年版

———20147.1.17.1.10(20147.1.1~7.1.10);

將年版本中的內(nèi)容合并至見見年版的

———20147.2.27.2(7.2,20147.2);

增加了服務(wù)水平協(xié)議的相關(guān)文件引用見見年版的

———(7.3.3,20147.3.3);

更改了概述的內(nèi)容引入為云服務(wù)商和運(yùn)行監(jiān)管方開展云計算服務(wù)

———“8.1”,GB/T37972—2019

運(yùn)行監(jiān)管活動提供指導(dǎo)見見年版的

(8.1,20148.1);

更改了概述的內(nèi)容強(qiáng)調(diào)對云服務(wù)安全提供商的運(yùn)行監(jiān)管責(zé)任應(yīng)由引入方承擔(dān)見

———“8.2.1”,(

GB/T31167—2023

見年版的

8.2.1,20148.2.1);

增加了運(yùn)行監(jiān)管中客戶的相關(guān)責(zé)任見見年版的

———(8.2.2,20148.2.2);

增加了重大變更的類型見見年版本的

———(8.4.3,20148.4.2);

增加了安全事件的類型見見年版本的

———(8.4.4,20148.4.3);

增加了遷移原則一節(jié)用于指導(dǎo)客戶在遷移數(shù)據(jù)時宜要求云服務(wù)商遵循的原則見

———“”,(9.2.1);

將年版中確定移交范圍的內(nèi)容更改為移交范圍見

———2014“9.2”“9.2.2”(9.2.2);

刪除了安全刪除數(shù)據(jù)中條措施中的存放敏感信息的介質(zhì)清理后不能用于存放公

———“9.4”c)“3)

開信息見年版的

”(20149.4);

將年版中的安全刪除數(shù)據(jù)中條措施中的腳注作為條措施中注見

———2014“9.4”c)c)(9.4)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位四川大學(xué)中國科學(xué)技術(shù)大學(xué)北京信息安全測評中心華為技術(shù)有限公司中國

:、、、、

電子技術(shù)標(biāo)準(zhǔn)化研究院北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司國家信息技術(shù)安全研究中心中國網(wǎng)絡(luò)安

、、、

全審查技術(shù)與認(rèn)證中心中國移動通信集團(tuán)有限公司陜西省信息化工程研究院國家工業(yè)信息安全發(fā)

、、、

展研究中心浪潮云信息技術(shù)股份公司深信服科技股份有限公司中國信息安全測評中心北京杭州

、、、()、

安恒信息技術(shù)股份有限公司中國電子科技集團(tuán)公司第三十研究所華信咨詢設(shè)計研究院有限公司中

、、、

電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司成都蜀道易信科技有限公司新華三技術(shù)有限公司騰訊云計算北京

、、、()

有限責(zé)任公司

。

本文件主要起草人陳興蜀周亞超王啟旭閔京華楊苗苗羅永剛張建軍楊建軍左曉棟

:、、、、、、、、、

劉海峰張濱江為強(qiáng)李媛嚴(yán)敏瑞王龑王惠蒞張明天張勇盧夏伍揚(yáng)陳雪鴻史大為柳彩云

、、、、、、、、、、、、、、

張敏邱勤吳復(fù)偉張曉菲趙丹丹望婭露劉俊河章建聰陳靜萬曉蘭馬洪軍張格董平于樂

、、、、、、、、、、、、、、

尹麗波趙章界朱毅邱云翔王永霞

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2014GB/T31167—2014;

本次為第一次修訂

———。

GB/T31167—2023

引言

本文件與信息安全技術(shù)云計算服務(wù)安全能力要求構(gòu)成了云計算服務(wù)安全

GB/T31168—2023《》

管理的基礎(chǔ)文件面向云服務(wù)商描述了為客戶提供云計算服務(wù)時應(yīng)具備的安全能

。GB/T31168—2023

力本文件面向客戶提出了采用云計算服務(wù)時的安全管理和技術(shù)措施

,。

本文件指導(dǎo)客戶做好采用云計算服務(wù)的前期分析和規(guī)劃選擇合適的云服務(wù)商與部署模式對云計

,,

算服務(wù)進(jìn)行運(yùn)行監(jiān)管規(guī)避退出云計算服務(wù)或更換云服務(wù)商的安全風(fēng)險本文件指導(dǎo)客戶在采用云計

,。

算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施保障數(shù)據(jù)和業(yè)務(wù)的安全安全地使用云計算服務(wù)

,,。

GB/T31167—2023

信息安全技術(shù)云計算服務(wù)安全指南

1范圍

本文件提出了客戶采用云計算服務(wù)的安全管理基本原則給出了采用云計算服務(wù)的生命周期各階

,

段的安全管理和技術(shù)措施提出了云計算服務(wù)安全管理原則和相關(guān)責(zé)任劃分

,。

本文件適用于指導(dǎo)客戶安全地采用云計算服務(wù)

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論