云计算的安全需求

目录

一、概述
二、云安全服务根本能力要求
三、信息安全服务（云计算安全类）资质要求
3.1 概述
3.2 资质要求内容
3.2.1 组织与管理要求
3.2.2 技能能力要求
四、云安全主要合规要求
4.1 安全管理机构部分的建立
4.2 安全管理规范计划的体例
4.3 安全测评认证的筹办
4.3.1 可信云评估认证
4.3.2 C-STAR云安全评估
4.3.3 网络安全等级保护测评认证
4.4 定期风险评估和应急演练
4.4.1 信息安全风险评估
4.4.2 网络安全应急演练

---

一、概述

云服务商应该在满足《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规要求的前提下，在其与客户之间举行合理的安全责任划分。同时，云服务商为了更好地为客户提供服务，还要通过相关的云安全服务资质认证。
二、云安全服务根本能力要求

国家尺度《信息安全技能　云计算服务安万能力要求》(GB/T 31168—2014)形貌了以社会化方式为特定客户提供云计算服务时，云服务商应具备的信息安全技能能力。适用于对当局部分利用的云计算服务举行安全管理，也可供重点行业和其他企事业单位利用云计算服务时参考，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
尺度分为一样平常要求和增强要求。根据拟迁徙到社会化云计算平台上的当局和行业信息、业务的敏感度及安全需求的差别，云服务商应具备的安万能力也各不相同。该尺度提出的安全要求分为10类，分别是系统开发与供应链安全、系统与通讯保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与职员、物理与情况保护。
《信息安全技能　云计算服务安万能力要求》文档地址：
国家尺度《信息安全技能云计算服务安万能力要求》（GB/T31168-2014）简介_中央网络安全和信息化委员会办公室 (cac.gov.cn)
三、信息安全服务（云计算安全类）资质要求

3.1 概述

中国信息安全测评中心的信息安全服务（云计算安全类）资质认定是对云计算安全服务提供者的资格状态、技能气力和云计算安全服务实行过程质量保证能力等方面的具体衡量和评价。
信息安全服务（云计算安全类）资质级别的评定，是依据《信息安全服务资质评估准则》和差别级别的信息安全服务资质（云计算安全类）具体要求，在对申请组织的根本资格、技能气力、云计算安全服务能力以及云计算安全服务项目的组织管理程度等方面的评估结果根本上举行综合评定后，由中国信息安全测评中心给予相应的资质级别。
根本能力要求包罗组织与管理要求及技能能力要求。
3.2 资质要求内容

3.2.1 组织与管理要求

• 必须拥有健全的组织和管理体系，为持续的云计算安全服务提供保障。
  
• 必须具有专业从事云计算安全服务的队伍和相应的质量保证。
  
• 与云计算安全服务相关的所有成员要签订保密合同，并遵守有关法律法规。
  

3.2.2 技能能力要求

• 相识信息系统技能的最新动向，有能力把握信息系统的最新技能。
  
• 具有不断的技能更新能力。
  
• 具有对信息系统面临的安全威胁、存在的安全隐患举行信息收集、识别、分析和提供防范步伐的能力。
  
• 能根据对用户信息系统风险的分析，向用户发起有效的安全保护策略及建立完善的安全管理制度。
  
• 具有对发生的突发性安全变乱举行分析和解决的能力。
  
• 具有对市场上的信息系统产物举行功能分析，提出安全策略和安全解决方案及安全产物的系统集成能力。
  
• 具有根据服务业务的需求开发信息系统应用、产物或支持性工具的能力。
  
• 具有对集成的信息系统举行检测和验证的能力，有能力对信息系统举行有效的维护。
  
• 有跟踪、相识、把握、应用国际/国家和行业尺度的能力。
  

四、云安全主要合规要求

4.1 安全管理机构部分的建立

组织成立的信息安全领导小组是信息安全范畴的最高决议机构，其下设办公室来负责信息安全领导小组的一样平常事务。
信息安全领导小组负责研究重大变乱，落实方针政策和制定总体策略等。职责主要包罗根据国家和行业有关信息安全的政策、法律和法规，批准组织的信息安全总体策略规划、管理规范和技能尺度；确定组织信息安全各有关部分工作职责，指导、监督信息安全工作；及时把握和解决影响网络安全运行方面的有关题目，组织力量对突发变乱举行应急处置惩罚，确保单位信息工作的安全。
同时要设置信息系统安全相关的关键岗位并加强管理，配备系统安全管理员、网络安全管理员、应用开发安全管理员、安全审计员、安全保密管理员，并各自独立遵循权限非斥原则。关键岗位职员必须严格遵守保密法规和有关信息安全管理规定。
4.2 安全管理规范计划的体例

信息安全管理作为组织完整管理体系中的一个紧张环节，是指导和控制组织的关于信息安全风险的相互和谐的运动。
安全管理计划的范畴包含信息安全运动过程中所涉及的各种安全管理题目，主要包罗职员、组织、技能、服务等方面的安全管理要求和规定。
信息安全管理体系是一个自上而下的管理过程，GB/T 29246—2017(ISO/IEC 27000:2016)中形貌了信息安全管理体系成功的主要因素，诸如：

• 信息安全策略、目的和与目的一致的运动。
  
• 与组织文化一致的，信息安全设计、实行、监督、保持和改进的方法与框架。
  
• 来自所有管理层级、特别是最高管理者的可见支持和承诺。
  
• 对应用信息安全风险管理（见ISO/IEC 27005）实现信息资产保护的明白。
  
• 有效的信息安全意识、培训和教育计划，以使所有员工和其他相关方知悉在信息安全策略、尺度等中自身的信息安全义务，并鼓励其做出相应的办法。
  
• 有效的信息安全变乱管理过程。
  
• 有效的业务一连性管理方法。8)评价信息安全管理性能的测量系统和反馈的改进发起。
  

云计算安全体系下的安全管理规范计划的体例，主要涉及如下一些文档类型：《安全组织架构和岗位职责说明》《职员安全管理流程规范》《应用安全开发管理规范》《应用及数据安全管理规范》《云租户系统上线检测流程规范》《云平台安全运维流程规范》《安全变乱应急响应流程规范》《安全应急演练规划和陈诉》《网络安全等级保护测评自查陈诉》《可信云认证测评自查清单》等。
4.3 安全测评认证的筹办

信息安全服务（云计算安全类）资质认定是对云计算安全服务提供者的资格状态、技能气力和云计算安全服务实行过程质量保证能力等方面的具体衡量和评价。目前，国内的云计算服务安全认证主要有网络安全等级保护测评认证、信息安全服务资质（云计算安全类一级）认证、可信云评估认证等；国外的云计算服务安全认证主要有C-STAR、FedRAMP认证、ISO 27001、新版ISO 20000认证、SOC独立审计、CNAS云计算国家尺度测试。
4.3.1 可信云评估认证

可信云评估是中国信息通讯研究院下属的云计算服务和软件评估品牌，也是我国针对云计算服务和软件的专业评估体系。可信云评估的核心目的是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，促进我国云计算市场康健、创新发展，提升服务质量和诚信程度，渐渐建立云计算产业的信托体系，被业界广泛担当和信托。
目前发布的紧张的可信云尺度及白皮书主要有《云服务用户数据保护能力参考框架》《云计算运维平台参考框架及技能要求（征求意见稿）》《可信云多云管理平台评估方法》《可信云服务认证评估方法》《开源管理能力评价方法》《可信云混淆云解决方案评估方法》《可信云·云管理服务提供商能力要求》《可信物联网云平台能力评估方法》《智能云服务技能能力要求》等。
4.3.2 C-STAR云安全评估

C-STAR云安全评估是一个全新而独特的服务，旨在应对与云安全相关的特定题目，是ISO/IEC 27001的增强版本。它联合云控制矩阵、成熟度等级评价模型，以及相关法律法规和尺度要求，对云计算服务举行全方位的安全评估。
C-STAR云安全评估的管控要求极为严格，评估过程接纳国际先进的成熟度等级评价模型，涵盖应用和接口安全、审计保证与合规性、业务一连性管理和操作弹性、变动控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、管理和风险管理、身份识别和访问管理、根本设施和虚拟化安全、安全变乱管理、供应链管理、威胁和脆弱性管理等16个控制域的全方位安全评估。
4.3.3 网络安全等级保护测评认证

网络安全等级保护测评认证是指测评机构依据国家网络安全等级保护管理制度规定，按照有关管理规范和技能尺度对不涉及国家秘密的信息系统安全保护状态举行等级测试评估的运动。
网络安全等级测评是测评机构依据《信息安全技能　网络安全等级保护测评要求》等管理规范和技能尺度，检测评估信息系统安全等级保护状态是否达到相应等级根本要求的过程，是落实网络全等级保护制度的紧张环节。在信息系统建设、整改时，信息系统运营、利用单位通过等级测评举行现状分析，确定系统的安全保护现状和存在的安全题目，并在此根本上确定系统的整改安全需求。
4.4 定期风险评估和应急演练

《网络安全法》第二十五条规定：网络运营者应当制订网络安全变乱应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的变乱时，立刻启动应急预案，采取相应的调停步伐，并按照规定向有关主管部分陈诉。
《网络安全法》第三十八条规定：关键信息根本设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和大概存在的风险每年至少举行一次检测评估，并将检测评估情况和改进步伐报送相关负责关键信息根本设施安全保护工作的部分。
4.4.1 信息安全风险评估

随着信息化的不断深入，信息化在给组织带来便利的同时，也带来了新的安全题目，信息系统本身的不安全因素和人为的攻击粉碎及安全管理制度的不完善或执行不到位等，都埋伏着许多安全隐患。因此，组织亟需建立完善的信息安全保障体系，防范信息安全风险。信息安全保障体系的建设是一项系统工程，风险评估在其中占有非常紧张的地位，是信息安全保障体系建设的根本和前提。
信息安全风险评估就是从风险管理角度，运用科学的方法和本领，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全变乱发生的概率及大概造成的危害程度，提出有针对性的抵御威胁的防护对策和整改步伐，为防范和化解信息安全风险，将风险控制在可担当的程度，最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的根本性工作和紧张环节，要贯穿于信息系统的规划、设计、实行、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的紧张科学方法之一。
4.4.2 网络安全应急演练

应急演练是指各行业主管部分、各级当局及其部分、企事业单位、社会团体等（以下统称演练组织单位）组织相关单位及职员，依据有关网络安全应急预案，开展应对网络安全变乱的运动。
通过开展应急演练，查找应急预案中存在的题目，进而完善应急预案，进步应急预案的实用性和可操作性；检查应对网络安全变乱所需应急队伍、物资、装备、技能等方面的预备情况，发现不敷并及时予以调整补充，做好应急预备工作；增强演练组织单位、到场单位和职员等对应急预案的认识程序，加强配合，进步其应急处置能力；进一步明确相关单位和职员的职责使命，理顺工作关系，完善各关联方之间分离、隔绝、配套应急联动机制，防范网络安全风险扩展。

好了，本次内容就分享到这，欢迎大家关注《云计算安全》专栏，后续会继续输出相关内容文章。假如有帮助到大家，欢迎大家点赞+关注+收藏，有疑问也欢迎大家评论留言！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。