DB13/T 3000-2019 信息安全技术 电子政务云安全保护技术与管理规范

ICS 35.030
L 09 DB13
河北省 地方标准
DB 13/T 3000—2019
信息安全技术 电子政务云安全保护技术与管理规范
2019 - 07 - 04 发布 2019 - 08 - 01 实施
河北省市场监督管理局 发 布

1 范围
本标准规定了电子政务云安全保护物理安全、网络安全、主机安全、应用安全、数据安全五个方
面的技术要求和安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方
面的管理要求。
本标准适用于相关组织和机构电子政务云安全保护的管理指导和评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文
件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
3 术语和定义
GB/T 31167-2014、GB/T 31168-2014和GB/T 22239-2008中界定的及以下术语和定义适用于本文件。
3.1
安全保护能力 security protection ability
系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。
3.2
电子政务云 E-government cloud
电子政务云结合了云计算技术的特点，通过信息化手段在政务上实现各种业务流程办理和职能服
务，为政府各级部门提供可靠的基础IT服务平台。
3.3
电子政务云安全保护能力
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起
的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现
安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能，应符合国家网络安全等级保
护制度的有关要求。
4 电子政务云安全保护技术要求
4.1 物理安全
4.1.1 物理位置的选择
本项目包括但不限于：
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；
b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；
c) 确保机房位于中国境内；
d) 确保云计算服务器及运行关键业务和数据的物理设备位于中国境内；
4.1.2 物理访问控制
本项目包括但不限于：
a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。
b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。
c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或
安装等过渡区域。
d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。
e) 制定和维护具有机房访问权限的人员名单。
f) 及时从授权访问名单中删除不再需要访问机房的人员。
g) 根据职位、角色以及访问的必要性对机房进行细粒度的物理访问授权。
h) 除对机房出入口实施访问控制外，云服务商还应严格限制对云计算平台设备的物理接触。

投稿会员：llff11358