ICS 33. 030 CCS L 70 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 云服务客户信息安全管理指南 Guidance for cloud service customer information security management (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业与信息化部 发布
YD/TXXXXXXXXX 目次 前言.. 1范围. 2规范性引用文件 3术语和定义.. 4缩略语. 5云服务客户信息安全框架. 5.1云服务安全责任共担原则. 5.2云服务客户信息安全管理框架, 5.3云服务客户安全防护框架.. 6云服务客户信息安全管理措施.. 6.1规划准备.... 6.2选择服务商与部署.. 6.3运行与监控 6.4 退出服务. 7云服务客户信息安全防护措施. 7.1网络安全.
7.2计算安全. 7.3应用安全. 7.4数据安全. 7.5安全运维.. 7.6安全合规.. 参考文献... 标准信息服务平台
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:深圳市腾讯计算机系统有限公司、腾讯云计算(北京)有限责任公司、中国信息 通信研究院、杭州中尔网络科技有限公司、深信服科技股份有限公司、深圳华大生命科学研究院、中国 邮政储蓄银行股份有限公司深圳分行、中国电信集团有限公司、北京启明星辰信息安全技术有限公司、 北京百度网讯科技有限公司.
本文件主要起草人王永霞、康和、王余、孔松、韩非、沈飘、葛方隽、刘晨、徐爽、张鹏程、蔡 国瑜、李昭、郭瑶瑶、田建丽、唐佳伟、韩放、李炜、蔡序娟.
行业标准信息服务平台 I1
YD/T xXXXXXXXX 云服务客户信息安全管理指南 1范围 本文件提出了云服务客户在公有云服务生命周期各阶段的信息安全管理和防护要求.
本文件适用于指导云服务客户安全用云,以及基于其自身的安全管理措施,构建和完善云上系统的信 息安全管理机制.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本文 件.
GB/T35273-2020信息安全技术个人信息安全规范 GB/T39335-2020信息安全技术个人信息安全影响评估指南 GB/T39786-2021信息安全技术信息系统密码应用基本要求 YD/T4060-2022云计算安全责任共担模型 3术语和定义 下列术语和定义适用于本文件.
3. 1 云计算cloudpurting 一种通过网络可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式.
注:资源包括服务器、操作系统、网络、软件、应用和存储设备等.
准信息服务平台 [来源:GB/T32399-2015 6] 3. 2 云服务cloudservice 通过云计算(3.1)已定义的接口提供的一种或多种能) [来源:GB/T32399-2015 7.2.4] 3.3 参与方party 一个或一组自然人或法人,无论该法人是否注册.
[来源:GB/T32399-2015 7.2.3] 3. 4 云服务客户cloud service customer
YD/TXXXXXXXXX 为使用云服务(3.2)而处于一定业务关系中的参与方(3.3).
注:业务关系不一定包含经济条款.
[来源:GB/T32399-2015,8.2.] 3.5 云服务产品cloudserviceproduct 与一组商业条款一同被提供的一个云服务.
注:商业条款能包括定价、定级和服务水平.
[来源:GB/T32400-2015,3.1.6] 4缩略语 下列缩略语适用于本文件.
AES:高级加密标准(Advanced Encryption Standard) DDos:分布式拒绝服务攻击(Distributed Denialof Service attacks) ECC:椭圆加密算法(E11iptic Curve Cryptography) HTTPS:超文本传输安全协议(Hypertext Transfer ProtocolSecure) VPN:虚拟专用网络(VPNVirtualPrivate Network) WEB:互联网(World Wide Web) 5云服务客户信息安全框架 5.1云服务安全责任共担原则 云计算安全责任共担原则是云计算领域的共识,包括: a)基于云计算安全责任共担模型原则: b)云服务客户的安全责任宜符合YD/T4060-2022第5章对IaaS、PaaS、SaaS各类云服务客户安全责任的 要求.
5.2云服务客户信息安全看理框架 云服务客户用云过程通常包括规划准备、选择服务商与部署、运行与监控、退出服务四个阶段,并进 行全生命周期管理,如图1.
a)规划准备包括涉及到上云策略、识别上云数据资产、识别安全合规要求、风险管理、建立安全策略 等环节; b)选择服务商与部署包括选择服务商包括对云服务商安全能力的识别、适配分析、控制计划等:部署 阶段会对配置进行选择、执行、测试与维护: c)运行监控包括持续运营和监控运行在公有云平台上的业务系统,在开发云上宜用时,明确系统安全 需求与采取必要的安全措施: d)退出服务包括数据销毁、系统迁移、维保服务等.
规划准备 选择服务商与部署 运行与监控 退出服务 图1云服务客户信息安全管理框架
