ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T37972—2019

信息安全技術(shù)

云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

Informationsecuritytechnology—Operationsupervisionframeworkof

cloudcomputingservice

2019-08-30發(fā)布2020-03-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37972—2019

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

云計(jì)算服務(wù)運(yùn)行監(jiān)管目的及框架

4………………………1

運(yùn)行監(jiān)管目的

4.1………………………1

運(yùn)行監(jiān)管框架

4.2………………………1

運(yùn)行監(jiān)管的角色及責(zé)任

4.3……………2

安全控制措施監(jiān)管

5………………………3

安全控制措施內(nèi)容

5.1…………………3

安全控制措施監(jiān)管環(huán)節(jié)

5.2……………3

變更管理監(jiān)管

6……………3

變更管理內(nèi)容

6.1………………………3

變更管理監(jiān)管環(huán)節(jié)

6.2…………………4

應(yīng)急響應(yīng)監(jiān)管

7……………4

應(yīng)急響應(yīng)內(nèi)容

7.1………………………4

應(yīng)急響應(yīng)監(jiān)管環(huán)節(jié)

7.2…………………4

云計(jì)算服務(wù)運(yùn)行監(jiān)管的實(shí)現(xiàn)方式

8………………………4

概述

8.1…………………4

人工機(jī)制

8.2……………4

自動(dòng)機(jī)制

8.3……………5

附錄資料性附錄運(yùn)行監(jiān)管交付件模版

A()……………6

附錄資料性附錄安全控制措施運(yùn)行監(jiān)管列表

B()……………………10

參考文獻(xiàn)

……………………18

GB/T37972—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位四川大學(xué)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京安信天行技術(shù)有限公司北京信息安

:、、、

全測(cè)評(píng)中心華為技術(shù)有限公司阿里云計(jì)算有限公司騰訊云計(jì)算有限公司中國(guó)移動(dòng)通信有限公司研

、、、、

究院廣州賽寶認(rèn)證中心服務(wù)有限公司西安未來(lái)國(guó)際信息股份有限公司陜西省信息化工程研究院中

、、、、

國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司

。

本標(biāo)準(zhǔn)主要起草人陳興蜀羅永剛李想劉小茵上官曉麗鐘金鑫趙章界葛龍王偉王永霞

:、、、、、、、、、、

張磊沈錫庸楊思磊葛小宇王惠蒞白楊王啟旭胡影

、、、、、、、。

Ⅰ

GB/T37972—2019

引言

隨著云計(jì)算技術(shù)的蓬勃發(fā)展政府部門及重點(diǎn)行業(yè)等對(duì)采用云計(jì)算服務(wù)有了大量需求為確保云服

,,

務(wù)客戶安全地使用云計(jì)算服務(wù)確保云服務(wù)商的安全能力符合國(guó)家相關(guān)標(biāo)準(zhǔn)要求確保云計(jì)算服務(wù)各相

,,

關(guān)方能夠?qū)崟r(shí)有效地掌握云計(jì)算服務(wù)的運(yùn)行質(zhì)量和安全狀態(tài)制定云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

、,。

本標(biāo)準(zhǔn)以信息安全技術(shù)云計(jì)算服務(wù)安全指南為依據(jù)以

GB/T31167—2014《》,GB/T31168—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求為要求規(guī)范了政府部門云服務(wù)客戶在使用云計(jì)算服務(wù)的過(guò)

《》,

程中云服務(wù)商運(yùn)行監(jiān)管方的相關(guān)責(zé)任及監(jiān)管內(nèi)容提出了運(yùn)行監(jiān)管框架過(guò)程及方式同時(shí)本標(biāo)準(zhǔn)

,、,、。,

為云服務(wù)商支撐云計(jì)算服務(wù)運(yùn)行監(jiān)管活動(dòng)提供指導(dǎo)為運(yùn)行監(jiān)管方開展運(yùn)行監(jiān)管提供指導(dǎo)

,。

Ⅱ

GB/T37972—2019

信息安全技術(shù)

云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

1范圍

本標(biāo)準(zhǔn)確定了云計(jì)算服務(wù)運(yùn)行監(jiān)管框架規(guī)定了安全控制措施監(jiān)管變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管

,、

的內(nèi)容及監(jiān)管活動(dòng)給出運(yùn)行監(jiān)管實(shí)現(xiàn)方式的建議

,。

本標(biāo)準(zhǔn)適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使

,

用云計(jì)算服務(wù)時(shí)參考

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T31167—2014。

31

.

運(yùn)行監(jiān)管方operationsupervisionorganization

獨(dú)立于云計(jì)算服務(wù)相關(guān)方且具有專業(yè)技術(shù)能力開展運(yùn)行監(jiān)管的機(jī)構(gòu)

,,。

4云計(jì)算服務(wù)運(yùn)行監(jiān)管目的及框架

41運(yùn)行監(jiān)管目的

.

開展云計(jì)算服務(wù)運(yùn)行監(jiān)管的目的是保障

:

云計(jì)算服務(wù)持續(xù)滿足國(guó)家相關(guān)法律法規(guī)行政命