信息安全技術(shù) 政府網(wǎng)站云計(jì)算服務(wù)安全指南-編制說明

任務(wù)來源《信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南》是由西安未來國際信息股份有限公司于2016年5月申請(qǐng)立項(xiàng)的國家標(biāo)準(zhǔn)項(xiàng)目，2016年7月中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局正式下達(dá)任務(wù)書“信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南”。“信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南”由西安未來國際信息股份有限公司、阿里云計(jì)算有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、北京時(shí)代遠(yuǎn)景信息技術(shù)研究院主要負(fù)責(zé)起草，北京信息安全測評(píng)中心、華為技術(shù)有限公司、杭州安恒信息技術(shù)有限公司、北京安信天行科技有限公司、北京京東尚科信息技術(shù)有限公司、國家信息技術(shù)安全研究中心、深信服科技股份有限公司、中國電信集團(tuán)公司、烽火科技集團(tuán)有限公司、杭州迪普科技股份有限公司、廣州賽寶認(rèn)證中心服務(wù)有限公司、首都之窗、西北大學(xué)等單位共同參與了該標(biāo)準(zhǔn)的起草工作，歸口單位為全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱信息安全標(biāo)委會(huì)，TC260）。主要工作過程1、2016年3月至5月，進(jìn)行《政府網(wǎng)站云計(jì)算服務(wù)安全指南》標(biāo)準(zhǔn)調(diào)研論證，完成標(biāo)準(zhǔn)草案初稿；2、2016年6月16日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第一次工作組會(huì)議周，對(duì)標(biāo)準(zhǔn)的立項(xiàng)必要性、標(biāo)準(zhǔn)主要內(nèi)容等進(jìn)行討論；3、2016年7月14日，正式成立標(biāo)準(zhǔn)編制組，召開第一次工作組會(huì)議，討論標(biāo)準(zhǔn)框架，編寫思路，編制分工等事宜，征求專家意見；4、2016年8月29日，召開第二次工作組會(huì)議，重點(diǎn)討論標(biāo)準(zhǔn)草案第一版角色定義、角色劃分、各階段技術(shù)要求；5、2016年10月18日，西安未來國際信息股份有限公司代表編制組在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第二次工作組會(huì)議周進(jìn)行工作匯報(bào)，工作組成員單位對(duì)標(biāo)準(zhǔn)工作提出了建議和意見；6、2016年11月23日，召開第三次工作組會(huì)議，討論標(biāo)準(zhǔn)草案第二版要求，重點(diǎn)討論角色劃分與職責(zé)定義；7、2017年3月3日，召開第四次工作組會(huì)議，討論標(biāo)準(zhǔn)草案第三版要求，重點(diǎn)討論每個(gè)階段的技術(shù)要求；8、2017年4月11日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第一次工作組會(huì)議周，會(huì)上各位專家對(duì)最新的標(biāo)準(zhǔn)草案內(nèi)容發(fā)表了意見，并提出了寶貴的修改意見及建議；9、2017年4月28日，召開第五次工作組會(huì)議，討論標(biāo)準(zhǔn)草案第四版，對(duì)標(biāo)準(zhǔn)全文進(jìn)行了梳理；10、2017年6月14日，召開第六次工作組會(huì)議，討論標(biāo)準(zhǔn)草案第五版，對(duì)運(yùn)行管理階段和反饋意見進(jìn)行了討論，對(duì)標(biāo)準(zhǔn)題目的修改達(dá)成了一致意見，對(duì)標(biāo)準(zhǔn)的內(nèi)容細(xì)節(jié)提出了修改建議。11、2017年6月26日，西安未來國際信息股份有限公司邀請(qǐng)相關(guān)專家在中國電子技術(shù)標(biāo)準(zhǔn)化研究院會(huì)議室對(duì)標(biāo)準(zhǔn)進(jìn)行了評(píng)審和研討，各位專家對(duì)草案內(nèi)容提出了各自的見解，并提出了合理的意見和建議。12、2017年6月28日，西安未來國際信息股份有限公司代表編制組在大數(shù)據(jù)工作組會(huì)議上進(jìn)行匯報(bào)，工作組同意形成征求意見稿。13、2017年7月，根據(jù)修改意見進(jìn)行了標(biāo)準(zhǔn)草案的修改完善，進(jìn)行了提交。編制原則和主要內(nèi)容編制原則《信息安全技術(shù)政府網(wǎng)站云計(jì)算服務(wù)安全指南》是指導(dǎo)政府和規(guī)范政府網(wǎng)站采用云計(jì)算服務(wù)的工作流程，以及規(guī)定的安全技術(shù)和管理措施。在政府部門采用云計(jì)算服務(wù)的應(yīng)用前景下，針對(duì)政府網(wǎng)站采用云計(jì)算服務(wù)所面臨的安全風(fēng)險(xiǎn)，明確安全目標(biāo)，制定了政府部門采用云計(jì)算服務(wù)所涉及的角色、角色職責(zé)、技術(shù)要求，以指導(dǎo)和規(guī)范政府部門采用云計(jì)算服務(wù)。本標(biāo)準(zhǔn)遵從國家標(biāo)準(zhǔn)GB/T31167-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》、GB/T31168-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》、GB/T31506-2015《信息安全技術(shù)政府網(wǎng)站系統(tǒng)安全技術(shù)指南》等標(biāo)準(zhǔn)規(guī)范，按照云計(jì)算服務(wù)生命周期劃分政府網(wǎng)站采用云計(jì)算服務(wù)的四個(gè)階段，明確了各階段的技術(shù)要求，并對(duì)采用云計(jì)算服務(wù)過程中涉及的四個(gè)角色（包含云服務(wù)客戶、云服務(wù)商、云客戶供應(yīng)鏈服務(wù)商、第三方服務(wù)商）在四個(gè)階段的職責(zé)進(jìn)行了劃分。主要內(nèi)容本標(biāo)準(zhǔn)主要內(nèi)容分為5個(gè)章節(jié)，分別針對(duì)政府網(wǎng)站采用云計(jì)算服務(wù)面臨的風(fēng)險(xiǎn)、采用云計(jì)算服務(wù)的四個(gè)階段過程進(jìn)行了詳細(xì)的說明。本標(biāo)準(zhǔn)規(guī)定了政府網(wǎng)站采用云計(jì)算服務(wù)過程中涉及到的云服務(wù)商、云服務(wù)客戶、云客戶供應(yīng)鏈服務(wù)商、第三方評(píng)估機(jī)構(gòu)四個(gè)角色及安全責(zé)任，并明確了政府網(wǎng)站在采用云計(jì)算服務(wù)時(shí)，在規(guī)劃準(zhǔn)備、部署遷移、安全運(yùn)行管理、退出服務(wù)等階段應(yīng)采取的安全技術(shù)和管理措施，為政府網(wǎng)站采用云計(jì)算服務(wù)提供指導(dǎo)。本標(biāo)準(zhǔn)適用于建成的政府網(wǎng)站采用云計(jì)算服務(wù)，對(duì)于新建政府網(wǎng)站采用云計(jì)算服務(wù)可參照使用。主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果當(dāng)前，國家推進(jìn)政府網(wǎng)站采用云計(jì)算服務(wù)，這種方式有利于政務(wù)信息系統(tǒng)的整體部署和共建共用，便于信息資源的匯聚共享，降低信息化建設(shè)成本，有利于推動(dòng)政府網(wǎng)站云計(jì)算服務(wù)集約化發(fā)展。為加強(qiáng)政府網(wǎng)站云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理，需要對(duì)政府網(wǎng)站云計(jì)算服務(wù)過程中的安全要求及責(zé)任進(jìn)行明確規(guī)定，便于各角色履行各自的職責(zé)，保障政府網(wǎng)站云計(jì)算服務(wù)使用健康、有序的發(fā)展。2014年，我國發(fā)布了云計(jì)算的兩個(gè)基礎(chǔ)標(biāo)準(zhǔn)：GB/T31167-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》和GB/T31168-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》。這兩個(gè)標(biāo)準(zhǔn)的制定和發(fā)布，有力地推動(dòng)了云計(jì)算技術(shù)在我國的推廣和應(yīng)用，為政府部門和重點(diǎn)行業(yè)采用云計(jì)算服務(wù)提供安全指導(dǎo)并進(jìn)行安全管理。本標(biāo)準(zhǔn)對(duì)上述兩個(gè)標(biāo)準(zhǔn)進(jìn)行了補(bǔ)充，規(guī)范了政府部門采用云計(jì)算服務(wù)涉及的相關(guān)角色，并對(duì)每個(gè)角色在每個(gè)階段的安全責(zé)任和安全要求進(jìn)行了定義，為政府網(wǎng)上云和上云后的安全運(yùn)行等問題進(jìn)行了指導(dǎo)和規(guī)范。本標(biāo)準(zhǔn)的制定有利于政府網(wǎng)站逐步遷移上云，停止服務(wù)器、存儲(chǔ)等相關(guān)軟硬件的采購；有利于對(duì)政府網(wǎng)站的統(tǒng)一監(jiān)管、統(tǒng)一安全保障；有利于推廣政府部門網(wǎng)站采用云計(jì)算服務(wù)和應(yīng)用。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度本標(biāo)準(zhǔn)為自主制定。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求，能配合國家相關(guān)政策文件的實(shí)施，并且本標(biāo)準(zhǔn)中規(guī)定的內(nèi)容遵從云計(jì)算國家標(biāo)準(zhǔn)GB/T31167-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全指南》、GB/T31168-2014《信息安全國家標(biāo)準(zhǔn)—云計(jì)算服務(wù)安全能力要求》等一系列標(biāo)準(zhǔn)的定義，又繼成GB/T31506-201《信息安全技術(shù)—政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)云計(jì)算安全要求》的相關(guān)技術(shù)要求。本標(biāo)準(zhǔn)可以作為云計(jì)算相關(guān)標(biāo)準(zhǔn)在政府部門具體采用云計(jì)算應(yīng)用上的補(bǔ)充，完善云計(jì)算標(biāo)準(zhǔn)體系建設(shè)。重大分歧意見的處理經(jīng)過和依據(jù)項(xiàng)目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評(píng)審等過程，項(xiàng)目組在工作過程中遵循GB/T1.1—2009編制原則，對(duì)國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案的編寫工作。在整個(gè)過程中未遇到重大意見分歧，但對(duì)專家提出的意見和建議，我們做了應(yīng)答和處理，更好地完善了我們的標(biāo)準(zhǔn)編制工作，處理經(jīng)過詳見意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標(biāo)準(zhǔn)作為政府網(wǎng)站采用云計(jì)算服務(wù)的安全指南，能配套國家標(biāo)準(zhǔn)GB/T31167-2014《信息安全技術(shù)—云計(jì)算服務(wù)安全指南》、GB/T31168-2014《信息安全技術(shù)—云計(jì)算服務(wù)安全能力要求》的實(shí)施，為政府部門采用云計(jì)算服務(wù)提供指導(dǎo)。本項(xiàng)目制定的標(biāo)準(zhǔn)將為政府部門網(wǎng)站采用云計(jì)算服務(wù)提供全生命周期的安全技術(shù)要求指導(dǎo)，提供責(zé)任劃分指導(dǎo)，適用于政府部門采購和使用云計(jì)算服務(wù)保障政府網(wǎng)站安全，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位保證網(wǎng)站安全選擇云計(jì)算服務(wù)提供參考