《信息安全技术 云计算服务安全能力要求》编制说明.pdfVIP

一、 工作简况 1.1 任务来源 为加快建立信息安全审查制度，工业和信息化部拟率先开展政府部门云计 算服务安全审查。考虑到我国缺少云计算信息安全标准，本着急用先上的原则， 工业和信息化部信息安全协调司于2013年3 月启动了制定《信息安全技术 云计 算服务安全能力要求》（以下简称 《能力要求》）的任务。2013年8月，《信息安 全技术 云计算服务安全能力要求》正式在全国信息安全标准化技术委员会立项。 此外，另外一项支撑性的标准 《信息安全技术 云计算服务安全指南》（以下简称 《指南》）已在2012 年开始由四川大学牵头编制，上述两项标准是政府部门云计 算服务安全审查的基础规范。 《能力要求》由中国电子信息产业集团有限公司所属的中电信息技术研究 院牵头，四川大学、中国电子技术标准化研究院、中国电子科技集团公司第三十 研究所、工业和信息化部电子科学技术情报研究所、中国电子信息产业发展研究 院、中电长城网际系统应用有限公司等单位共同参与起草。 1.2 主要工作过程 1、2013 年3 月22 日至4 月3 日（集中封闭）：标准编制组成立，广泛调研 并重点翻译国内外云计算安全相关标准，为本标准的编制奠定基础 封闭期间，编制组广泛研究了国内外云计算安全要求与管理规范，包括： 1）美国联邦系统安全控制的建议 （NIST 800-53）； 2）美国联邦风险及授权管理项目 （FedRAMP）云计算安全基线要求； 3）国际云安全联盟 《云安全指南 （CSAGuide）》v3.0； 4）国际标准ISO27017 《基于ISO/IEC27002 使用云计算服务的安全指南》 （草案）； 5）欧洲网络与信息安全局 （ENISA）发布的 《云计算信息保障框架》等。 其中，编制组详细翻译，并逐条讨论校对了 《FedRAMP 云计算安全基线要 求》，原文中的安全控制对应NIST 800-53第3版。2013年2 月，NIST 发布了第 4 版草案，与第3版相比增加了大量关于供应链安全、信息流控制的内容。为此， 编制组在整理FedRAMP 基线时同时列出了NIST 800-53第3版及其对应的第4 版变化。对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。 1 2、2013 年3 月29 日至3 月30 日 （标准研讨会）：初步确定标准题目、适 用范围、标准框架 参加全国信息安全标准化技术委员会在成都组织召开的 “云计算安全标准 研讨会”，汇报了关于美国联邦信息安全风险管理框架的研究成果，就 《能力要 求》的适用范围和标准框架进行了初步的梳理。汇报内容得到与会领导和专家的 肯定。 3、2013 年4 月7 日至4 月19 日 （集中封闭、标准研讨会、中美信息安全 技术标准圆桌研讨会）：初步形成标准草案，小范围征求意见 4 月9 日至4 月11 日，编制组深化上一阶段研究成果，分成三个小组开展 工作：1）深入研究NIST 800-53 第四版对比第三版的更新之处，适当采纳 Fedramp 基线之外的安全措施，以充实第一阶段汇总的Fedramp 安全基线翻译； 2）研究SC27制定的ISO/IEC27017 《基于ISO/IEC27002 使用云计算服务的安 全指南》草案，特别是其中关于安全管理的要求；3）研究CSA 安全指南中的 技术要求。在此基础上，对 《FedRAMP 云计算安全基线要求》进行了补充，向 中国移动研究院、中金数据、未来国际等云服务商征求意见。 4 月12 日，组织内部研讨会，以 《FedRAMP 云计算安全基线要求》为基 础，初步确定了云计算安全要求的分类；4 月13 日-14 日，编制组向工信部、 安标委的领导和专家作了汇报，确定了标准各章节名称；2013年4 月15 日-19 日，编制组成员对12 类安全要求进行细化，整理形成初稿。内容上重点参考了 NIST 800-53 的低、中级安全要求。 2013年4 月16 日，编制组参加了“第二届中美信息安全技术标准圆桌研讨 会”，编制组成员听取了美方对云计算安全标准的理解和有关建议。 4、2013 年4 月20 日-5 月20 日（短期封闭、标准研讨会2 次）：完成第一 版标准草案，讨论并完善标准的内容 2013年4 月20 日至5 月12 日，编制组形成了第一版标准草案。2013年5