DB15/T 2196-2021 大数据应用 云服务安全技术指南.pdf
附件大小:0.45MB附件格式:1个直链文件,格式为pdf
所属分类:其他规范
分享会员:巧克力布丁
分享时间:2022-12-08
最后更新:
资源简介/截图:
ICS35.240.01
CCS L80
DB15内蒙古自治区地方标准
DB15/T2196-2021
大数据应用云服务安全技术指南
Big data application-Technical guide for cloud service security
2021-05-25 发布
2021-06-25 实施
内蒙古自治区市场监督管理局 发布
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由内蒙古自治区大数据中心提出并归口。本文件起草单位:内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网络空间安全研究所、北京信息安全测评中心。本文件主要起草人:包瑞林、孙卫、林明峰、田丽丹、梁伟、李媛、王钢、李欢、崔连伟。
内容摘抄:
大数据应用云服务安全技术指南
1范围
本文件规定了云服务客户信息系统从迁移上云到退出云计算平台过程中各阶段的安全服务内容与技术要求。本文件适用于党政机关云计算平台使用单位、云服务商和云服务安全提供商。云安全测评机构也可参考使用。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20984信息安全技术信息安全风险评估规范
GB/T22240信息安全技术网络安全等级保护定级指南
GB/T25069信息安全技术术语
GB/T31167信息安全技术云计算服务安全指南
GB/T32400信息技术云计算概览与词汇
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。
3.1云服务商cloud service provider
云计算服务的供应方。[来源:GB/T31167-2014,3.3]
3.2云服务客户cloud service customer
为使用云服务而处于一定业务关系中的参与方。[来源:GB/T31167-2014,3.4]
3.3云计算平台cloud computing platform
云服务商提供的云计算基础设施及其上的服务软件的集合。[来源:GB/T31167-2014,3.7]
3.4云计算环境cloud computing environment
云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。[来源:GB/T31167-2014,3.8]
3.5云服务安全提供商cloud service security provider
支撑或协助云服务商或云服务客户的安全管理、技术和运维的提供商。
3.6云服务用户cloud service user
云服务客户中使用云服务的自然人或实体代表。[来源:GB/T32400-2015,3.2.17]
4安全服务过程
4.1概述
云服务用户迁移信息系统至云计算平台、使用、退出云计算环境过程中,安全服务生命周期包括上云前安全分析与设计、安全建设、安全运维与安全退出四个阶段。云安全服务生命周期各个阶段输入输出文档,见附录A。
针对尚未建设的信息系统(以下简称“新建系统”),安全服务过程如图1所示。在上云前安全分析与设计阶段,完成安全评估与需求分析、安全开发及定级备案:在安全建设阶段,完成安全管理体系建设、安全技术体系建设、安全自测,根据安全自测结果进行整改和加固,最后进行第三方测评:在安全运维阶段,进行安全运维体系建设及落地实施:在安全退出阶段,针对信息系统退出云计算平台的过程开展安全管控。
4.2上云前安全分析与设计
信息系统迁移至云计算平台(以下简称“上云”)前,完成上云前安全需求分析及定级备案。针对新建系统,根据信息系统安全需求,设计系统安全开发方案,实现软件安全开发生命周期管理。
4.3安全建设
信息系统迁移至云计算平台后,开展安全管理体系设计及落地、安全技术体系的设计和实施、安全自测、整改加固以及第三方测评,以提升信息系统在云上的安全防护能力。
4.4安全运维
信息系统完成安全建设后,需开展安全运维活动,包括了安全运维体系的建设以及安全运维实施。在识别、防护、检测、预警、响应、处置等环节,通过团队、技术平台、运维三要素的密切协同,持续性开展安全运维,形成安全闭环。
4.5安全退出
信息系统退出云计算平台(以下简称“下线”)过程需进行安全退出管理,主要确保业务数据得到有效保护,在系统下线的过程中不造成信息的泄露。
(略)