《信息安全技术 云计算服务安全能力评估方法》

意见汇总处理表
标准项目名称：《信息安全技术云计算服务安全能力评估方法》承办人：王惠莅共23
页
案，2015年5月20日发编制组内部征求意见
案，2015年6月11日，信安标委秘书处中期检查
案，2015年7月30日，信安标委秘书处专家评审
案，2015年8月至2015年9月，标准试用及审查办意见
标准草案，2015年11月24日，信安标委秘书处专家评审，形成征求意见稿
标准征求意见稿，2016年6月，大数据安全特别工作组征求意见
《信息安全技术云计算服务安全能力评估方法》标准编制组二〇一六年六月十三日。

云计算服务安全能力要求1 围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。

本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务，也适用于对云计算服务进行安全审查。

2 规性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB 50174-2008 电子信息系统机房设计规GB/T 9361-2011 计算机场地安全要求3 术语和定义GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。

3.1云计算 cloud computing云计算是一种通过网络便捷地访问海量计算资源（如网络、服务器、存储器、应用和服务）的模式，使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。

3.2云服务商 cloud service provider为个人、组织提供云计算服务的企事业单位。

云服务商管理、运营支撑云计算服务的计算基础设施及软件，通过网络将云计算服务交付给客户。

3.3客户 cloud consumer使用云计算平台处理、存储数据和开展业务的组织。

3.4第三方评估机构 third party assessment organization独立于云服务商和客户的专业评估机构。

3.5云基础设施 cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。

硬件资源层包括所有的物理计算资源，主要包括服务器（CPU、存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络和接口等）及其他物理计算基础元素。

资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。

政务云平台购买服务合同合同编号：签订地点：签订时间：年月日采购人（甲方）：平顶山市政务服务和大数据管理局供应商（乙方）：中国移动通信集团河南有限公司平顶山分公司依据《中华人民共和国合同法》、《中华人民共和国政府采购法》与项目行业有关的法律法规，以及平顶山市政务云政府购买服务项目（项目编号：）的《采购文件》，乙方的《投标文件》及《成交通知书》，甲、乙双方同意签订本合同。

详细技术说明及其他有关合同项目的特定信息由合同附件予以说明，合同附件及本项目的《采购文件》、《投标文件》、《成交通知书》等均为本合同的组成部分。

一、项目基本情况甲方向乙方购买政务云计算服务，包括乙方利用其资源为甲方提供的电子政务应用部署实施、培训和运行维护等服务。

二、合同期限合同确定的服务期为叁年。

服务期按照云计算服务实际开通计费之日起计算。

三、服务内容与质量标准（一）、云计算服务1．部署满足采购文件要求的为市级政务云专用的公有云和私有云计算服务基础设施。

包括但不限于为云计算服务提供的机房、计算资源池、存储资源池、网络资源池、安全资源池等必须的软硬件设备。

2．乙方提供云计算服务目录，并配合甲方对将要部署的政务应用系统进行方案评估，确定资源部署时间、内容及相关技术方案。

乙方在收到甲方书面政务云服务资源申请之后的5个工作日内完成资源分配，并提交给甲方最终用户。

3．乙方有义务配合甲方及其用户进行部署前的测试及部署后的调试。

4．乙方须按照甲方要求，采取资源审查、回收、优化等相应措施提高政务云服务资源总体利用率。

5．乙方应确保按照甲方要求与其他云平台承建商做好相关技术对接工作，并实现云应用的双活热备对接。

（二）、运行维护服务1．乙方须建立专职的运行维护和技术支持本地团队，具备云计算、网络、存储、数据库类工程师，设置统一服务电话，提供7×24小时现场值守服务。

2．乙方应向甲方提交《运行监管计划》，并按计划要求开展服务运行监控活动，同时向甲方提供相关的接口和文档。

1. 云计算的发展与应用时至今日，云计算已经成为许多企业和个人使用的重要技术。

它通过虚拟化技术将计算、存储和网络资源整合在一起，为用户提供各种各样的服务，包括数据存储、应用部署、虚拟机管理等。

云计算的发展不仅带来了便利，同时也带来了一系列安全隐患和挑战。

评估云计算服务的安全能力成为了当前云计算行业中的一个重要课题。

2. 云计算服务安全能力的评估意义云计算服务的安全能力评估是为了保障用户在使用云计算服务时的数据和隐私安全，提高云计算服务的信任度和可靠性。

通过评估云计算服务的安全能力，用户可以在选择云计算服务提供商时有依据，同时云计算服务提供商也可以加强自身的安全能力，以满足用户的需求。

3. 云计算服务安全能力的评估指标云计算服务安全能力评估主要涉及以下几个方面的指标：- 数据加密能力：评估云计算服务提供商对用户数据的加密能力，包括数据传输加密和数据存储加密。

- 访问控制能力：评估云计算服务提供商对用户数据的访问控制能力，包括用户身份认证、权限管理等。

- 安全监控能力：评估云计算服务提供商对用户数据和系统的安全监控能力，包括异常检测、日志记录等。

- 安全审计能力：评估云计算服务提供商对用户数据和系统的安全审计能力，包括合规性审计、日志分析等。

4. 云计算服务安全能力评估的方法云计算服务安全能力评估的方法主要包括定性评估和定量评估两种方式。

- 定性评估：通过对云计算服务提供商的安全政策、安全机制、安全技术等进行分析和比较，进行主观评估。

- 定量评估：通过对云计算服务提供商的安全能力指标进行量化分析和测算，进行客观评估。

5. 云计算服务安全能力评估的实施步骤云计算服务安全能力评估的实施步骤主要包括以下几个步骤：- 确定评估范围：确定评估的云计算服务提供商和评估的具体内容。

- 收集评估信息：收集相关的安全政策、安全机制、技术文档等信息。

- 进行评估分析：对收集的信息进行分析和比较，评估云计算服务提供商的安全能力。

信息服务安全评估标准
信息服务安全评估标准是指对信息服务系统的安全性进行评估的标准和要求。

这些标准旨在确保信息服务系统能够提供安全可靠的服务，防止信息泄露、数据篡改、服务中断等安全风险的发生。

常见的信息服务安全评估标准包括：
1. 国际标准化组织（ISO）的ISO 27001和ISO 27002。

这些标准为信息安全管理体系提供了指导，包括在信息资产管理、安全控制、风险管理等方面的要求。

2. 美国国家标准与技术研究院（NIST）的框架，如NIST SP 800-53和NIST SP 800-171。

这些框架提供了一套完整的安全控制措施，帮助组织建立和强化信息系统的安全性。

3. 国家信息安全标准化技术委员会（TC260）颁布的信息安全评估管理标准。

该标准主要针对我国信息安全评估机构和信息安全风险评估工作，提供了一套统一的评估方法和管理要求。

4. 云安全联盟（CSA）的云安全控制矩阵（CCM）。

这个标准提供了在云计算环境下评估和管理安全风险的指导，包括对云服务提供商的安全性能力进行评估。

5. 政府机构发布的相关行业标准和规定，如金融行业的支付安全标准（PCI DSS）、电子医疗行业的健康保险移动设备和应用程序的安全性法规（HIPAA）等。

信息服务安全评估标准根据不同行业、不同信息系统的特点，具体的要求和控制措施有所不同。

组织在实施信息服务安全评估时，可以参考相应的标准和框架，根据实际情况进行评估和改进，以提高信息服务系统的安全性。

云计算服务安全能力要求1 范围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。

本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务，也适用于对云计算服务进行安全审查。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB 50174-2008 电子信息系统机房设计规范GB/T 9361-2011 计算机场地安全要求3 术语和定义GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。

3.1云计算 cloud computing云计算是一种通过网络便捷地访问海量计算资源(如网络、服务器、存储器、应用和服务)的模式，使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。

3.2云服务商 cloud service provider为个人、组织提供云计算服务的企事业单位。

云服务商管理、运营支撑云计算服务的计算基础设施及软件，通过网络将云计算服务交付给客户。

3.3客户 cloud consumer使用云计算平台处理、存储数据和开展业务的组织。

3.4第三方评估机构 third party assessment organization独立于云服务商和客户的专业评估机构。

3.5云基础设施 cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。

硬件资源层包括所有的物理计算资源，主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。

资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。

网络安全知识竞赛考试题及答案（完整版）1.在日常生活中，以下哪些选项容易造成我们的敏感信息被非法窃取？（）A.随意丢弃快递单或包裹（正确答案）B.定期更新各类平台的密码，密码中涵盖数字、大小写字母和特殊符号C.电脑不设置锁屏密码（正确答案）D.在网上注册网站会员后详细填写真实姓名、电话、身份证号、住址等信息（正确答案）2.数据安全能力成熟度模型的安全能力维度包括（）A.组织建设（正确答案）B.制度流程（正确答案）C.技术工具（正确答案）D.人员能力（正确答案）3.数据权限申请、审批、使用、展示数据需（）原则A.看看就行B,敏感信息脱敏（正确答案）C.随便发生D,遵循最小化够用（正确答案）4.数据安全中的数据指什么（）A,数字（正确答案）B,设计文档（正确答案）C.客户信息（正确答案）D.企业组织机构（正确答案）5.GB/T31168《信息安全技术云计算服务安全能力要求》提出的安全要求是通常情况下云服务商应具备的基本安全能力。

在具体的应用场景下，云服务商有可能需要对这些安全要求进行调整。

调整的方式有（）oA.删减（正确答案）B,补充（正确答案）C.忽视D,替代（正确答案）6.GB/T31168《信息安全技术云计算服务安全能力要求》规定的安全计划所包含的内容包括但不限于（）oA.云平台的基本描述（正确答案）B.所采取的安全措施的具体情况（正确答案）C.对云服务商新增的安全目标及对应的安全措施的说明（正确答案）D.对客户安全责任的说明，以及对客户应实施的安全措施的建议（正确答案）7.在不同情况下，实施云计算安全措施的主体可能包括（）oA.云服务商（正确答案）B.客户（正确答案）C.云服务商和客户共同承担（正确答案）D.其他组织承担（正确答案）8.即使对同等安全能力水平的云服务商，其实现安全要求的方式也可能会有差异。

为此，GB/T31168《信息安全技术云计算服务安全能力要求》在描述安全要求时引入了（）oA.赋值（正确答案）B.重复C.细化D.选择（正确答案）9.下列场景，外单位人员可能接触到数据的有：（）A.内部使用B.领地公开共享（正确答案）C.受控公开共享（正确答案）D.完全公开共享（正确答案）10.去标识化的目标包括：（）A,删除所有标识符B,数据重标识风险尽可能低（正确答案）C,将数据尽可能泛化处理D,数据尽可能有用（正确答案）11.重标识的主要方法有：（）A,分离（正确答案）B,泛化C.关联（正确答案）D.推断（正确答案）12.重标识的主要工作包括：（）A.选取属性特征，确保区分度足够小B.选取属性特征，确保区分度足够大（正确答案）C.基于选取的属性特征，与身份信息关联（正确答案）D.基于选取的属性特征，去掉与身份信息的关联13.数据时效性一般要求包括（）A,制定数据存储时效性管理策略和规程（正确答案）B,明确存储数据分享、禁止使用和数据清除有效期，具备数据存储时效性授权与控制能力（正确答案）C.具备数据时效性自动检测能力D.建立过期存储数据的安全保护机制（正确答案）14.数据服务中的逻辑存储安全能力包括（）A.建立了数据逻辑存储管理安全规范和机制（正确答案）B.建立数据分片和分布式存储安全规范和规则（正确答案）C,明确了多租户数据逻辑存储隔离授权与操作规范（正确答案）D,提供了细粒度安全审计和数据操作溯源技术与机制15.在国际标准化组织（ISO）出版物类型中，技术规范（TS）指（1）,公开可用规范（PAS）指（2）,技术报告（TR）指（3）o（）A.当所讨论的技术主题仍在开发中，或者由于任何其他原因，将来有可能但不是立即能达成可发布的国际标准时发布的出版物（正确答案）B.技术委员会或分委员会收集的数据不同于能作为国际标准正式发布的数据时发布的出版物（正确答案）C.制定完整的国际标准之前作为中间规范发布的出版物（正确答案）D.技术委员会或分委员会下工作组层面提交的出版物16.IS0/IECJTC1/SC27/WG4是安全服务与控制工作组，涵盖的主题域包括（）等。