《信息安全技術(shù) 云計算服務(wù)安全能力要求-編制說明》

一、工作簡況

1、任務(wù)來源

本標(biāo)準(zhǔn)和GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》是我國

首批發(fā)布的云計算服務(wù)安全國家標(biāo)準(zhǔn)，有效地支撐了黨政部門云計算服務(wù)安全審

查工作，從技術(shù)和管理兩個方面分別闡述了云計算服務(wù)安全要求。隨著云計算服

務(wù)審查工作的積累、云計算技術(shù)發(fā)展以及黨政部門采購云計算服務(wù)形式的多樣

化，逐步發(fā)現(xiàn)標(biāo)準(zhǔn)存在審查工作量大、周期長，責(zé)任劃分難度增加、云服務(wù)安全

標(biāo)準(zhǔn)自身條款超前、部分條款不易理解、云持續(xù)監(jiān)督工作需求緊迫等問題，為支

撐審查工作的開展，有效指導(dǎo)云服務(wù)商建設(shè)安全的云計算平臺，迫切需要結(jié)合新

趨勢、新問題對本標(biāo)準(zhǔn)進(jìn)行修訂，并做好與相關(guān)標(biāo)準(zhǔn)的銜接。

2019年7月，國家互聯(lián)網(wǎng)信息辦公室等發(fā)布《云計算服務(wù)安全評估辦法》，

規(guī)定參照國家標(biāo)準(zhǔn)《云計算服務(wù)安全能力要求》、《云計算服務(wù)安全指南》，對面

向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進(jìn)行的安全評估。

根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2019年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》，該標(biāo)準(zhǔn)由交通運(yùn)輸

信息中心負(fù)責(zé)承辦，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。

2、主要起草單位和工作組成員

本標(biāo)準(zhǔn)由中電數(shù)據(jù)服務(wù)有限公司牽頭，四川大學(xué)、中國電子技術(shù)標(biāo)準(zhǔn)化研

究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家信息技術(shù)安全研究中心、中國信

息安全測評中心、中國信息通信研究院、北京信息安全測評中心、中國軟件評測

中心、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、國家工業(yè)信息安全中心、神州網(wǎng)信技術(shù)

有限公司、阿里云計算有限公司、寧夏西云數(shù)據(jù)科技有限公司、中國電信云股份

有限公司云計算分公司、華為技術(shù)有限公司、深信服科技股份有限公司、深圳騰

訊計算機(jī)系統(tǒng)有限公司、京東云計算（北京）有限公司、浙江螞蟻金服小微金融

服務(wù)集團(tuán)股份有限公司、武漢理工大學(xué)、上海市方達(dá)（北京）律師事務(wù)所等單位

共同參與起草。

3、主要工作過程

（1）2018年10月至12月，在全國信安標(biāo)委2018年第二次會議周上做標(biāo)

準(zhǔn)修訂報告，會后開展云計算標(biāo)準(zhǔn)、技術(shù)和產(chǎn)業(yè)以及黨政部門云服務(wù)安全管理實

1

踐調(diào)研

（2）2019年1月至2月，研究國內(nèi)外云計算安全相關(guān)標(biāo)準(zhǔn)，為本標(biāo)準(zhǔn)的編

制奠定基礎(chǔ)，包括：對比GB/T31168-2014與網(wǎng)絡(luò)安全等級保護(hù)2.0；GB/T

31168-2014與FEDRAMP安全基線的對照表（NIST80053）分析比較；FEDRAMP

中、高級安全基線比較表高級要求新增條款；以及CSA云安全指南重點內(nèi)容摘

要等。

（3）2019年2月至4月，成立編制組，召開項目申報啟動會，討論明確標(biāo)

準(zhǔn)修訂思路；在編制組范圍收集標(biāo)準(zhǔn)反饋意見，組織3次標(biāo)準(zhǔn)研討會；形成標(biāo)準(zhǔn)

草案。

（4）2019年4月，在全國信安標(biāo)委2019年第1次會議周上做立項匯報，

征集標(biāo)準(zhǔn)修訂意見。

（5）2019年5月至6月，召開專家研討會，請云服務(wù)安全審查和第三方機(jī)

構(gòu)技術(shù)專家對標(biāo)準(zhǔn)草案提出意見，根據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案。

（6）2019年7月至8月，征集參與過云服務(wù)安全審查工作的云服務(wù)商反饋

意見，包括阿里云、華為、電信、浪潮、曙光、騰訊、金山云、京東云、未來國

際、深信服等，根據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案。

（7）2019年9月，通過立項審批，公開征集標(biāo)準(zhǔn)參編單位。

（9）2019年10月，召開正式立項后的標(biāo)準(zhǔn)項目啟動會和專家評審會，根

據(jù)反饋意見修改完善標(biāo)準(zhǔn)草案，在全國信安標(biāo)委2019年第2次會議周上做標(biāo)準(zhǔn)

修訂工作匯報，經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見稿。

（10）2019年11月，在北京組織編制組研討會，修改完善標(biāo)準(zhǔn)內(nèi)容；在成

都四川大學(xué)組織的云計算安全國家標(biāo)準(zhǔn)和相關(guān)問題研討會上，就當(dāng)前的一些關(guān)鍵

問題進(jìn)行討論并征求專家意見。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)編制原則

一是先進(jìn)性原則。充分吸收已有云安全相關(guān)標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)在修訂過程中充

分參考了國際、國內(nèi)有關(guān)云計算安全的先進(jìn)標(biāo)準(zhǔn)和技術(shù)規(guī)范，對美國Fedramp

云安全基線要求、NIST800-53、ISO/IEC27017、CSA安全指南等相關(guān)標(biāo)準(zhǔn)的長

處進(jìn)行了吸收，基本覆蓋了上述標(biāo)準(zhǔn)的要求。

2

二是中立性原則。保持技術(shù)中立，在提出安全要求時，不限制具體的實現(xiàn)

方法，以便于為今后的技術(shù)發(fā)展留下空間。

三是合理性原則。結(jié)合我國云計算服務(wù)安全評估工作實踐以及云計算技術(shù)

發(fā)展和服務(wù)部署的實際情況，提出適當(dāng)?shù)陌踩蟆?/p>

二、主要內(nèi)容

本標(biāo)準(zhǔn)描述了以社會化方式為特定客戶提供云計算服務(wù)時，云服務(wù)商應(yīng)具

備的安全技術(shù)能力。

本標(biāo)準(zhǔn)適用于對政府部門使用的云計算服務(wù)進(jìn)行安全管理，也可供其他關(guān)

鍵信息基礎(chǔ)設(shè)施運(yùn)營者使用云計算服務(wù)時參考，還適用于指導(dǎo)云服務(wù)商建設(shè)安全

的云計算平臺和提供安全的云計算服務(wù)。

本標(biāo)準(zhǔn)對云服務(wù)商提出了基本安全能力要求，反映了云服務(wù)商在保障云計

算環(huán)境中客戶信息和業(yè)務(wù)的安全時應(yīng)具備的基本能力。這些安全要求分為11類，

每一類安全要求包含若干項具體要求。

11類安全要求分別是：

系統(tǒng)開發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分

保護(hù)，對信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計算平臺配置足夠

的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全

措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對信

息系統(tǒng)和業(yè)務(wù)的管理。

系統(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界

上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方

法有效保護(hù)云計算平臺的安全性。

訪問控制：云服務(wù)商應(yīng)在允許人員、進(jìn)程、設(shè)備訪問云計算平臺之前，

應(yīng)對其進(jìn)行身份標(biāo)識及鑒別，并限制其可執(zhí)行的操作和使用的功能。

數(shù)據(jù)保護(hù)：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計算平臺的客戶數(shù)據(jù)，確保境內(nèi)運(yùn)營

中收集和產(chǎn)生的客戶數(shù)據(jù)在境內(nèi)存儲，提供重要數(shù)據(jù)的備份與恢復(fù)功能，協(xié)助客

戶完成數(shù)據(jù)遷移并在服務(wù)結(jié)束時安全返回數(shù)據(jù)。

配置管理：云服務(wù)商應(yīng)對云計算平臺進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)

建立和維護(hù)云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并

3

設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。

維護(hù)：云服務(wù)商應(yīng)維護(hù)好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護(hù)所使用

的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。

應(yīng)急響應(yīng)：云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，

確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計劃，包括

對事件的預(yù)防、檢測、分析和控制及系統(tǒng)恢復(fù)等，對事件進(jìn)行跟蹤、記錄并向相

關(guān)人員報告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機(jī)制，

確?？蛻魳I(yè)務(wù)可持續(xù)。

審計：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計事件清單，明

確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進(jìn)行定期分析和審

查，還應(yīng)防范對審計記錄的非授權(quán)訪問、修改和刪除行為。

風(fēng)險評估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云

計算平臺進(jìn)行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。云服務(wù)商

應(yīng)制定監(jiān)控目標(biāo)清單，對目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時

發(fā)出警報。

安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員

（包括供應(yīng)商人員）上崗時具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)

人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程

序，對于違反安全規(guī)定的人員進(jìn)行處罰。

物理與環(huán)境保護(hù)：云服務(wù)商應(yīng)確保機(jī)房位于中國境內(nèi)，機(jī)房選址、設(shè)計、

供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機(jī)房進(jìn)行監(jiān)控，

嚴(yán)格限制各類人員與運(yùn)行中的云計算平臺設(shè)備進(jìn)行物理接觸，確需接觸的，需通

過云服務(wù)商的明確授權(quán)。

與GB/T31168—2014相比，主要變化如下：

——刪除原4.7節(jié)本標(biāo)準(zhǔn)的結(jié)構(gòu)。

——修改術(shù)語定義3.1-3.6，與GB/T32400《云計算術(shù)語》標(biāo)準(zhǔn)保持一致。

——刪除原5.1、6.1、7.1、8.1、9.1、10.1、11.1、12.1、13.1和14.1策略與

規(guī)程，相關(guān)要求整合至14安全組織與人員14.1策略與規(guī)程中。

4

——精簡標(biāo)準(zhǔn)條款，梳理減少原則性要求、重復(fù)性要求，其中有相關(guān)國家標(biāo)

準(zhǔn)要求的，如物理與環(huán)境要求引用。

——明確標(biāo)準(zhǔn)內(nèi)容，減少賦值和選擇操作，確需保留的，以舉例或附錄模板

等形式盡可能給出參考值。

——結(jié)合云計算平臺的特點，修改6.1邊界保護(hù)、6.11系統(tǒng)虛擬化等，細(xì)化

網(wǎng)絡(luò)隔離等內(nèi)容。

——增加6.14安全管理中心，針對云計算管理平臺或系統(tǒng)的安全能力要求。

——補(bǔ)充PAAS/SAAS等模式的安全技術(shù)要求，包括：7.21Web訪問安全、7.22

API訪問安全

——增加第8章數(shù)據(jù)保護(hù)，做好與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、個人信息和重要

數(shù)據(jù)保護(hù)相關(guān)標(biāo)準(zhǔn)的銜接，確保客戶遷移數(shù)據(jù)過程中的業(yè)務(wù)連續(xù)性和數(shù)

據(jù)完整性。

——將第10章維護(hù)改為“維護(hù)管理”，側(cè)重管理要求。

——增加第16章高級保護(hù)要求。根據(jù)GB/T31167，承載敏感信息的重要業(yè)

務(wù)和關(guān)鍵業(yè)務(wù)，應(yīng)選擇達(dá)到高級保護(hù)能力的云服務(wù)。高級保護(hù)要求主要

包括：1）結(jié)合云計算安全評估工作實踐，將原增強(qiáng)要求中要求偏高的

內(nèi)容調(diào)整到高級保護(hù)要求，如采用自動機(jī)制；2）采納行業(yè)云中較高的

安全要求，如金融行業(yè)云對災(zāi)備的要求；3）參考關(guān)鍵信息基礎(chǔ)設(shè)施保

護(hù)中適用于云計算平臺的要求，如關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)有關(guān)供應(yīng)鏈保

護(hù)、日志留存期限的要求；4）其他云計算安全標(biāo)準(zhǔn)中較高的技術(shù)要求，

如等級保護(hù)四級新增的云計算服務(wù)擴(kuò)展要求等。

——增加附錄B不同云能力類型下的不適用項，說明“基礎(chǔ)設(shè)施”、“平臺”、

“應(yīng)用程序”能力類型的適用項或不適用項列表。

三、主要試驗[或驗證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

5

無。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

標(biāo)準(zhǔn)參考了國際和國外相關(guān)標(biāo)準(zhǔn)情況，根據(jù)我國國情制定。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)符合《中華人民共和國網(wǎng)絡(luò)安全法》等現(xiàn)有法律法規(guī)的要求。根據(jù)

《云計算服務(wù)安全評估辦法》規(guī)定，與GB/T31167《信息安全技術(shù)云計算服

務(wù)安全指南》配合使用，為政府部門和關(guān)鍵信息基礎(chǔ)設(shè)施的云計算服務(wù)安全評

估提供技術(shù)支撐。

八、重大分歧意見的處理經(jīng)過和依據(jù)

編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。

九、標(biāo)準(zhǔn)性質(zhì)的建議

根據(jù)本標(biāo)準(zhǔn)的性質(zhì)，建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

建議云計算服務(wù)提供商、第三方評估機(jī)構(gòu)、網(wǎng)絡(luò)安全