GB/T 37972-2019信息安全技術(shù)云計算服務(wù)運行監(jiān)管框架

ICS35040

L80.

中華人民共和國國家標準

GB/T37972—2019

信息安全技術(shù)

云計算服務(wù)運行監(jiān)管框架

Informationsecuritytechnology—Operationsupervisionframeworkof

cloudcomputingservice

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37972—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

云計算服務(wù)運行監(jiān)管目的及框架

4………………………1

運行監(jiān)管目的

4.1………………………1

運行監(jiān)管框架

4.2………………………1

運行監(jiān)管的角色及責任

4.3……………2

安全控制措施監(jiān)管

5………………………3

安全控制措施內(nèi)容

5.1…………………3

安全控制措施監(jiān)管環(huán)節(jié)

5.2……………3

變更管理監(jiān)管

6……………3

變更管理內(nèi)容

6.1………………………3

變更管理監(jiān)管環(huán)節(jié)

6.2…………………4

應(yīng)急響應(yīng)監(jiān)管

7……………4

應(yīng)急響應(yīng)內(nèi)容

7.1………………………4

應(yīng)急響應(yīng)監(jiān)管環(huán)節(jié)

7.2…………………4

云計算服務(wù)運行監(jiān)管的實現(xiàn)方式

8………………………4

概述

8.1…………………4

人工機制

8.2……………4

自動機制

8.3……………5

附錄資料性附錄運行監(jiān)管交付件模版

A()……………6

附錄資料性附錄安全控制措施運行監(jiān)管列表

B()……………………10

參考文獻

……………………18

GB/T37972—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位四川大學中國電子技術(shù)標準化研究院北京安信天行技術(shù)有限公司北京信息安

:、、、

全測評中心華為技術(shù)有限公司阿里云計算有限公司騰訊云計算有限公司中國移動通信有限公司研

、、、、

究院廣州賽寶認證中心服務(wù)有限公司西安未來國際信息股份有限公司陜西省信息化工程研究院中

、、、、

國電子科技網(wǎng)絡(luò)信息安全有限公司

。

本標準主要起草人陳興蜀羅永剛李想劉小茵上官曉麗鐘金鑫趙章界葛龍王偉王永霞

:、、、、、、、、、、

張磊沈錫庸楊思磊葛小宇王惠蒞白楊王啟旭胡影

、、、、、、、。

Ⅰ

GB/T37972—2019

引言

隨著云計算技術(shù)的蓬勃發(fā)展政府部門及重點行業(yè)等對采用云計算服務(wù)有了大量需求為確保云服

,,

務(wù)客戶安全地使用云計算服務(wù)確保云服務(wù)商的安全能力符合國家相關(guān)標準要求確保云計算服務(wù)各相

,,

關(guān)方能夠?qū)崟r有效地掌握云計算服務(wù)的運行質(zhì)量和安全狀態(tài)制定云計算服務(wù)運行監(jiān)管框架

、,。

本標準以信息安全技術(shù)云計算服務(wù)安全指南為依據(jù)以

GB/T31167—2014《》,GB/T31168—2014

信息安全技術(shù)云計算服務(wù)安全能力要求為要求規(guī)范了政府部門云服務(wù)客戶在使用云計算服務(wù)的過

《》,

程中云服務(wù)商運行監(jiān)管方的相關(guān)責任及監(jiān)管內(nèi)容提出了運行監(jiān)管框架過程及方式同時本標準

,、,、。,

為云服務(wù)商支撐云計算服務(wù)運行監(jiān)管活動提供指導為運行監(jiān)管方開展運行監(jiān)管提供指導

,。

Ⅱ

GB/T37972—2019

信息安全技術(shù)

云計算服務(wù)運行監(jiān)管框架

1范圍

本標準確定了云計算服務(wù)運行監(jiān)管框架規(guī)定了安全控制措施監(jiān)管變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管

,、

的內(nèi)容及監(jiān)管活動給出運行監(jiān)管實現(xiàn)方式的建議

,。

本標準適用于對政府部門使用的云計算服務(wù)進行運行監(jiān)管也可供重點行業(yè)和其他企事業(yè)單位使

,

用云計算服務(wù)時參考

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)云計算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T31167—2014。

31

.

運行監(jiān)管方operationsupervisionorganization

獨立于云計算服務(wù)相關(guān)方且具有專業(yè)技術(shù)能力開展運行監(jiān)管的機構(gòu)

,,。

4云計算服務(wù)運行監(jiān)管目的及框架

41運行監(jiān)管目的

.

開展云計算服務(wù)運行監(jiān)管的目的是保障

:

云計算服務(wù)持續(xù)滿足國家相關(guān)法律法規(guī)行政命