ICS 35. 240 CCS L67 YD 中华人民共和国通信行业标准 [××××]-[×××××]1/0 [代替YD/T] 云计算风险管理框架 Cloud puting management framework [点击此处添加与国际标准一致性程度的标识] (报批稿) 行业标准信息服务平台 [点击此处添加本稿完成日期] [××××]-[××]-[××]发布 [×xx×]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
YD/TxxxXxxxxx 目次 前 1范围. 2 规范性引用文件. 3术语和定义. 4概述. 5风险管理组织架构 6风险评估. 6.1风险识别. 6.2风险估算.
7风险处置, 7.1风险降低. 7.2风险保持.
7.3风险回避. 7.4风险转移.
8风险接受. 9风险沟通 10风险监测. 附录A(资料性)云计算风险管理能力评估指标及权重., 行业标准信息服务平台
YD/TxxxXxxxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规则 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、浪潮通信技术有限公司、西安邮电大学、华为技术有限 公司、腾讯云计算(北京)有限责任公司 本文件主要起草人:栗蔚、郭雪、王方、孔松、王佩、张勇、卫斌、吴江伟、吴倩琳、韩非、王 睿宁、宋继达、赵华、符海芳、蒋增增、武献雨、傅帅、张春源、杜建伟、李小庆、宋敬海 行业标准信息服务平台 I1
YD/Txxxxxxxxx 云计算风险管理框架 1范围 本文件规定了云计算风险管理框架,针对云计算运行过程中面临的服务不可用、数据丢失、数据 泄露等风险后果提出管理方法,云计算风险管理过程包括风险评估、风险处置、风险接受、风险沟通 以及风险监视和评审等内容.
本文件适用于云计算企业对云计算涉及的系统、人员、管理制度进行风险管理,帮助云计算 厂商控制云计算对外运营的风险,帮助云服务客户选择风险可控的云计算厂商.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T 220812008 信息技术安全技术信息安全管理实用规则 GB/T 311682014 信息安全技术云计算服务安全能力要求 GB/T 324002015 信息技术云计算概览与词汇 3术语和定义 3. 1 云计算cloudputing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式.
注:资源实例包括服务器、操作系统、网络、软件、应月和存储设备等.
信息服务平台 [来源:GB/T32400-2015,3.2.5] 3. 2 云计算服务cloudputing service 使用定义的接口,借助云计算提供一种或多种资源的能力.
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等.
[来源:GB/T31168-2014,3.2] 3. 3 云计算厂商cloud service provider
YD/Txxxxxxxxx 云计算的供应方.
注:云计算厂商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源.
[来源:GB/T 31168-2014,3.3] 3. 4 风险risk 事态的概率及其结果的组合.
[来源:GB/T 22081-2008,2.9] 3.5 风险评估riskassessment 风险分析和风险评价的整个过程.
[来源:GB/T 22081-2008 2.11] 3.6 风险管理riskmanagement 指导和控制一个组织相关风险的协调活动.
注:风险管理一般包括风险评估、风险处置、风险接受和风险沟通.
[来源:GB/T 22081-2008 2.13] 3.7 风险处置risktreatment 选择并且执行措施来更改风险的过程.
[来源:GB/T22081-2008,2.14] 3.8 威胁threat 可能导致对系统或组织的损害的不期望事件发生的潜在原因.
信息服务平台 [来源:GB/T 22081-2008,2.16] 3.9 脆弱性vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点.
[来源:GB/T 22081-2008 2.17] 4概述 本文件规定了云计算风险管理框架,云计算风险管理流程包括风险评估、风险处置、风险接受、 风险沟通以及风险监视和评审.
