1 范圍

      本標(biāo)準(zhǔn)確定了云計(jì)算服務(wù)運(yùn)行監(jiān)管框架，規(guī)定了安全控制措施監(jiān)管、變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管的內(nèi)容及監(jiān)管活動(dòng)，給出運(yùn)行監(jiān)管實(shí)現(xiàn)方式的建議。

      本標(biāo)準(zhǔn)適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使用云計(jì)算服務(wù)時(shí)參考。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求

3 術(shù)語(yǔ)和定義

      GB/T 31167-2014界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      運(yùn)行監(jiān)管方 operation supervision organization

      獨(dú)立于云計(jì)算服務(wù)相關(guān)方，且具有專業(yè)技術(shù)能力，開展運(yùn)行監(jiān)管的機(jī)構(gòu)。

4 云計(jì)算服務(wù)運(yùn)行監(jiān)管目的及框架

4.1 運(yùn)行監(jiān)管目的

      開展云計(jì)算服務(wù)運(yùn)行監(jiān)管的目的是保障：

      a）云計(jì)算服務(wù)持續(xù)滿足國(guó)家相關(guān)法律法規(guī)、行政命令、政策和標(biāo)準(zhǔn)；

      b）云計(jì)算服務(wù)相關(guān)方能夠及時(shí)、有效地掌握云計(jì)算平臺(tái)的運(yùn)行質(zhì)量和安全狀態(tài)；

      c）云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)可控；

      d）云計(jì)算服務(wù)的安全能力持續(xù)滿足要求。

      從而確保GB/T 31167-2014中8.1提出的運(yùn)行監(jiān)管主要目標(biāo)。

4.2 運(yùn)行監(jiān)管框架

      云計(jì)算服務(wù)運(yùn)行監(jiān)管框架是基于國(guó)家標(biāo)準(zhǔn)GB/T 31167-2014和GB/T 31168-2014中的運(yùn)行監(jiān)管要求而提出的。云計(jì)算服務(wù)運(yùn)行監(jiān)管框架如圖1所示。

圖1 運(yùn)行監(jiān)管框架

      云服務(wù)商應(yīng)對(duì)云計(jì)算服務(wù)實(shí)施安全控制、變更管理及應(yīng)急響應(yīng)等方面的管理和技術(shù)措施，并為運(yùn)行監(jiān)管方提供已實(shí)施相關(guān)管理和技術(shù)措施的支撐材料，形成交付件（對(duì)監(jiān)管活動(dòng)起到佐證作用的任何實(shí)體，包括但不限于各種文檔、圖片、錄音、錄像、實(shí)物、數(shù)據(jù)等，并以紙質(zhì)、電子等形式有效保存），附錄A給出了運(yùn)行監(jiān)管交付件參考模版，附錄B給出了安全控制措施運(yùn)行監(jiān)管列表。

      運(yùn)行監(jiān)管方對(duì)云服務(wù)商的交付件進(jìn)行分析審核、評(píng)估驗(yàn)證等監(jiān)管活動(dòng)，形成監(jiān)管結(jié)果告知云計(jì)算服務(wù)相關(guān)方，必要時(shí)應(yīng)根據(jù)監(jiān)管結(jié)果給出合理的意見和建議。

4.3 運(yùn)行監(jiān)管的角色及責(zé)任

4.3.1 運(yùn)行監(jiān)管角色

      運(yùn)行監(jiān)管框架包含兩個(gè)主要角色：

      a）云服務(wù)商。通過國(guó)家網(wǎng)絡(luò)安全審查并為政府部門提供服務(wù)的云服務(wù)商。

      b）運(yùn)行監(jiān)管方。云服務(wù)客戶的管理部門（例如：政府信息安全管理部門、云服務(wù)客戶的主管部門等）指定或委托的運(yùn)行監(jiān)管方。

4.3.2 云服務(wù)商的責(zé)任

      云服務(wù)商應(yīng)確保：

      a）云計(jì)算平臺(tái)中的安全控制措施持續(xù)有效；

      b）云計(jì)算平臺(tái)中的重大變更風(fēng)險(xiǎn)可控；

      c）云計(jì)算平臺(tái)中的應(yīng)急響應(yīng)及時(shí)充分；

      d）向運(yùn)行監(jiān)管方按約定的內(nèi)容、形式、頻率、人工或自動(dòng)機(jī)制等提交運(yùn)行監(jiān)管所需交付件，并確保交付件真實(shí)可靠；

      e）根據(jù)運(yùn)行監(jiān)管方反饋的監(jiān)管結(jié)果對(duì)相關(guān)的管理和技術(shù)措施進(jìn)行整改。

      從而履行GB/T 31167-2014中8.2.3規(guī)定的云服務(wù)商在運(yùn)行監(jiān)管中的責(zé)任。

4.3.3 運(yùn)行監(jiān)管方的責(zé)任

      運(yùn)行監(jiān)管方應(yīng)：

      a）對(duì)云計(jì)算服務(wù)的安全控制措施、重大變更和應(yīng)急響應(yīng)等進(jìn)行運(yùn)行監(jiān)管；

      b）與云服務(wù)商協(xié)商運(yùn)行監(jiān)管接口，即交付件的內(nèi)容、形式、頻率和人工或自動(dòng)機(jī)制等；

      c）確保云服務(wù)商提交的交付件安全，不得將交付件、涉及云服務(wù)商的知識(shí)產(chǎn)權(quán)和商業(yè)秘密的材料提供給第三方；

      d）對(duì)云服務(wù)商提交的交付件進(jìn)行分析及審核；

      e）根據(jù)分析、審核結(jié)果對(duì)云計(jì)算服務(wù)的安全能力進(jìn)行評(píng)估，必要時(shí)應(yīng)以抽查、核查及測(cè)試等方式對(duì)交付件中的內(nèi)容進(jìn)行驗(yàn)證；

      f）根據(jù)評(píng)估驗(yàn)證結(jié)論，形成評(píng)估報(bào)告并告知云計(jì)算服務(wù)相關(guān)方，必要時(shí)應(yīng)給出整改意見和建議。從而幫助云服務(wù)客戶履行GB/T 31167-2014中8.2.2規(guī)定的客戶在運(yùn)行監(jiān)管活動(dòng)中的責(zé)任。

5 安全控制措施監(jiān)管

5.1 安全控制措施內(nèi)容

      安全控制措施涉及的主要內(nèi)容包括但不限于：

      a）系統(tǒng)開發(fā)與供應(yīng)鏈安全；

      b）系統(tǒng)與通信保護(hù)；

      c）訪問控制；

      d) 配置管理；

      e) 維護(hù)；

      f) 應(yīng)急響應(yīng)與災(zāi)備；

      g）審計(jì)；

      h) 風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控；

      i) 安全組織與人員；

      j) 物理與環(huán)境安全。

5.2 安全控制措施監(jiān)管環(huán)節(jié)

      安全控制措施的監(jiān)管環(huán)節(jié)包括：

      a）運(yùn)行監(jiān)管方制定安全控制監(jiān)管策略與計(jì)劃，明確監(jiān)管目的與要求、監(jiān)管方法與手段，細(xì)化安全控制措施的監(jiān)管內(nèi)容、交付件類型、格式及頻率等；

      b）云服務(wù)商根據(jù)運(yùn)行監(jiān)管方制定的安全控制措施監(jiān)管策略與計(jì)劃，對(duì)云計(jì)算平臺(tái)的安全狀態(tài)實(shí)施持續(xù)監(jiān)控，提交有關(guān)安全控制措施有效性的相關(guān)交付件；

      c）運(yùn)行監(jiān)管方根據(jù)云服務(wù)商提交的交付件，對(duì)云計(jì)算平臺(tái)的安全控制措施進(jìn)行分析、審核，必要時(shí)，應(yīng)對(duì)安全控制措施的有效性進(jìn)行評(píng)估，并將結(jié)果告知云計(jì)算服務(wù)相關(guān)方。

6 變更管理監(jiān)管

6.1 變更管理內(nèi)容

      變更管理涉及的主要內(nèi)容包括但不限于（見GB/T 31167-2014中8.4.2重大變更監(jiān)管）：

      a）鑒別（包括身份鑒別和數(shù)據(jù)源鑒別）和訪問控制措施的變更；

      b）數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)方法的變更；

      c）備份機(jī)制和流程的變更；

      d）與外部服務(wù)商網(wǎng)絡(luò)連接的變更；

      e）安全控制措施的變更；

      f）已部署的商業(yè)軟硬件產(chǎn)品的變更；

      g）云計(jì)算服務(wù)分包商的變更，例如 PaaS 、SaaS服務(wù)商更換IaaS服務(wù)商；

      h）云計(jì)算服務(wù)運(yùn)行主體的變更；

      i) 云計(jì)算平臺(tái)軟件版本的變更；

      j）云計(jì)算平臺(tái)基礎(chǔ)設(shè)施的變更；

      k）系統(tǒng)IT架構(gòu)的變更。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。