书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３７９７２ — ２０１９ 信息安全技术云计算服务运行监管框架 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犗狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀犳狉犪犿犲狑狅狉犽狅犳犮犾狅狌犱犮狅犿狆狌狋犻狀犵狊犲狉狏犻犮犲 ２０１９  ０８  ３０ 发布 ２０２０  ０３  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 云计算服务运行监管目的及框架 １ ……………………………………………………………………… 　 ４．１ 　 运行监管目的 １ ……………………………………………………………………………………… 　 ４．２ 　 运行监管框架 １ ……………………………………………………………………………………… 　 ４．３ 　 运行监管的角色及责任 ２ …………………………………………………………………………… ５ 　 安全控制措施监管 ３ ……………………………………………………………………………………… 　 ５．１ 　 安全控制措施内容 ３ ………………………………………………………………………………… 　 ５．２ 　 安全控制措施监管环节 ３ …………………………………………………………………………… ６ 　 变更管理监管 ３ …………………………………………………………………………………………… 　 ６．１ 　 变更管理内容 ３ ……………………………………………………………………………………… 　 ６．２ 　 变更管理监管环节 ４ ………………………………………………………………………………… ７ 　 应急响应监管 ４ …………………………………………………………………………………………… 　 ７．１ 　 应急响应内容 ４ ……………………………………………………………………………………… 　 ７．２ 　 应急响应监管环节 ４ ………………………………………………………………………………… ８ 　 云计算服务运行监管的实现方式 ４ ……………………………………………………………………… 　 ８．１ 　 概述 ４ ………………………………………………………………………………………………… 　 ８．２ 　 人工机制 ４ …………………………………………………………………………………………… 　 ８．３ 　 自动机制 ５ …………………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 运行监管交付件模版 ６ …………………………………………………………… 附录 Ｂ （ 资料性附录 ） 　 安全控制措施运行监管列表 １０ …………………………………………………… 参考文献 １８ …………………………………………………………………………………………………… 犌犅 ／ 犜 ３７９７２ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 四川大学 、 中国电子技术标准化研究院 、 北京安信天行技术有限公司 、 北京信息安全测评中心 、 华为技术有限公司 、 阿里云计算有限公司 、 腾讯云计算有限公司 、 中国移动通信有限公司研究院 、 广州赛宝认证中心服务有限公司 、 西安未来国际信息股份有限公司 、 陕西省信息化工程研究院 、 中国电子科技网络信息安全有限公司 。 本标准主要起草人 ： 陈兴蜀 、 罗永刚 、 李想 、 刘小茵 、 上官晓丽 、 钟金鑫 、 赵章界 、 葛龙 、 王伟 、 王永霞 、 张磊 、 沈锡庸 、 杨思磊 、 葛小宇 、 王惠莅 、 白杨 、 王启旭 、 胡影 。 Ⅰ 犌犅 ／ 犜 ３７９７２ — ２０１９ 引 　　 言 　　 随着云计算技术的蓬勃发展 ， 政府部门及重点行业等对采用云计算服务有了大量需求 ， 为确保云服务客户安全地使用云计算服务 ， 确保云服务商的安全能力符合国家相关标准要求 ， 确保云计算服务各相关方能够实时 、 有效地掌握云计算服务的运行质量和安全状态 ， 制定云计算服务运行监管框架 。 本标准以 ＧＢ ／ Ｔ３１１６７ — ２０１４ 《 信息安全技术 　 云计算服务安全指南 》 为依据 ， 以 ＧＢ ／ Ｔ３１１６８ — ２０１４ 《 信息安全技术 　 云计算服务安全能力要求 》 为要求 ， 规范了政府部门云服务客户在使用云计算服务的过程中 ， 云服务商 、 运行监管方的相关责任及监管内容 ， 提出了运行监管框架 、 过程及方式 。 同时 ， 本标准为云服务商支撑云计算服务运行监管活动提供指导 ， 为运行监管方开展运行监管提供指导 。 Ⅱ 犌犅 ／ 犜 ３７９７２ — ２０１９ 信息安全技术云计算服务运行监管框架 １ 　 范围 本标准确定了云计算服务运行监管框架 ， 规定了安全控制措施监管 、 变更管理监管和应急响应监管的内容及监管活动 ， 给出运行监管实现方式的建议 。 本标准适用于对政府部门使用的云计算服务进行运行监管 ， 也可供重点行业和其他企事业单位使用云计算服务时参考 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ３１１６７ — ２０１４ 　 信息安全技术 　 云计算服务安全指南 ＧＢ ／ Ｔ３１１６８ — ２０１４ 　 信息安全技术 　 云计算服务安全能力要求 ３ 　 术语和定义 ＧＢ ／ Ｔ３１１６７ — ２０１４ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 运行监管方 　 狅狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀狅狉犵犪狀犻狕犪狋犻狅狀 独立于云计算服务相关方 ， 且具有专业技术能力 ， 开展运行监管的机构 。 ４ 　 云计算服务运行监管目的及框架 ４ ． １ 　 运行监管目的 开展云计算服务运行监管的目的是保障 ： ａ ） 　 云计算服务持续满足国家相关法律法规 、 行政命令 、 政策和标准 ； ｂ ） 　 云计算服务相关方能够及时 、 有效地掌握云计算平台的运行质量和安全状态 ； ｃ ） 　 云计算服务的安全风险可控 ； ｄ ） 　 云计算服务的安全能力持续满足要求 。 从而确保 ＧＢ ／ Ｔ３１１６７ — ２０１４ 中 ８．１ 提出的运行监管主要目标 。 ４ ． ２ 　 运行监管框架 云计算服务运行监管框架是基于国家标准 ＧＢ ／ Ｔ３１１６７ — ２０１４ 和 ＧＢ ／ Ｔ３１１６８ — ２０１４ 中的运行监管要求而提出的 。 云计算服务运行监管框架如图 １ 所示 。 １ 犌犅 ／ 犜 ３７９７２ — ２０１９ 图 １ 　 运行监管框架 　　 云服务商应对云计算服务实施安全控制 、 变更管理及应急响应等方面的管理和技术措施 ， 并为运行监管方提供已实施相关管理和技术措施的支撑材料 ， 形成交付件 （ 对监管活动起到佐证作用的任何实体 ， 包括但不限于各种文档 、 图片 、 录音 、 录像 、 实物 、 数据等 ， 并以纸质 、 电子等形式有效保存 ）， 附录 Ａ 给出了运行监管交付件参考模版 ， 附录 Ｂ 给出了安全控制措施运行监管列表 。 运行监管方对云服务商的交付件进行分析审核 、 评估验证等监管活动 ， 形成监管结果告知云计算服务相关方 ， 必要时应根据监管结果给出合理的意见和建议 。 ４ ． ３ 　 运行监管的角色及责任 ４ ． ３ ． １ 　 运行监管角色 运行监管框架包含两个主要角色 ： ａ ） 　 云服务商 。 通过国家网络安全审查并为政府部门提供服务的云服务商 。 ｂ ） 　 运行监管方 。 云服务客户的管理部门 （ 例如 ： 政府信息安全管理部门 、 云服务客户的主管部门等 ） 指定或委托的运行监管方 。 ４ ． ３ ． ２ 　 云服务商的责任 云服务商应确保 ： ａ ） 　 云计算平台中的安全控制措施持续有效 ； ｂ ） 　 云计算平台中的重大变更风险可控 ； ｃ ） 　 云计算平台中的应急响应及时充分 ； ｄ ） 　 向运行监管方按约定的内容 、 形式 、 频率 、 人工或自动机制等提交运行监管所需交付件 ， 并确保交付件真实可靠 ； ｅ ） 　 根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改 。 从而履行 ＧＢ ／ Ｔ３１１６７ — ２０１４ 中 ８．２．３ 规定的云服务商在运行监管中的责任 。 ４ ． ３ ． ３ 　 运行监管方的责任 运行监管方应 ： ａ ） 　 对云计算服务的安全控制措施 、 重大变更和应急响应等进行运行监管 ； ｂ ） 　 与云服务商协商运行监管接口 ， 即