信息安全技术-云计算服务运行监管框架.docx-得力文库

资源描述

《信息安全技术-云计算服务运行监管框架.docx》由会员分享，可在线阅读，更多相关《信息安全技术-云计算服务运行监管框架.docx（18页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全技术云计算服务运行监管框架1范围本标准针对云服务商提供云计算服务的运行监管环节，阐述了云计算服务运行监管框架、过程以及方式等内容，用于指导运行监管活动中的云服务商和运行监管机构的监管活动，为云服务商制定和实施云计算服务运行监管策略和计划、为运行监管方进行运行监管活动提供指导，以保障云计算服务安全能力持续达到云计算客户的安全需求。本标准适用于政府部门采用云计算服务的运行监管活动，也可供重点行业和其他企事业单位使用云计算服务时参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有

2、的修改单）适用于本文件。GB/T 32400-2015信息技术云计算概览与词汇GB/T311672014信息安全技术云计算服务安全指南GB/T 311682014信息安全技术云计算服务安全能力要求 3术语和定义GB/T 32400-2015界定的以及下列术语和定义适用于本文件。云计算 Cloud Computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。云服务 Cloud Service通过云计算己定义的接口提供一种或多种能力。云服务商 Cloud Service Provider云计算服

3、务的供应方。云服务客户 Cloud Service Customer为使用云服务而处于定业务关系中的参与方。注：业务关系不一定包含经济条款。运行监管方 Operation Supervision Organization独立于云计算服务相关方的专业监管机构。3.6附录A安全控制项安全类安全项属性内容频率负责方交付件类型备注（章节号）系统开发与供应链安全资源分配一般要求C）在工作计划和预算文件中，将信息安全作为单列项予以说明。每年云服务商证据5.2采购过程一般要求云服务商应根据相关法律、法规、政策和标准的要求，以及可能的客户需求，并在风险评估的基础上，将以下内容列入

4、信息系统采购合同： a）安全功能要求。b）安全强度要求。c）安全保障要求。d）安全相关文档要求。e）保密要求。f）开发环境和预期运行环境描述。g）验收准则。h）强制配置要求，如功能、端口、协议和服务。每年云服务商证据5.4开发过程、标准和工具增强要求c）按照赋值：云服务商定义的频率审查开发过程、标准、工具以及工具选项和配置，判定有关过程、标准、工具以及工具选项和配置是否满足赋值：云服务商定义的安全需求。d）要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质量度量标准，并以选择：赋值：云服务商定义的频率;赋值：云服务商定义的项目审查里程碑；交付时为节点，检查质量度

5、量标准的落实情况。每年云服务商证据5.10i）要求信息系统、组件或服务的开发商即使在交付信息系统、组件或服务后，也应跟踪信息系统、组件或服务的漏洞情况，在发布漏洞补丁前便应通知云服务商，且应将漏洞补丁交由云服务商审查、验证并允许云服务商自行安装。每月云服务商证据开发商安全测试和评估一般要求a）制定并实施安全评估计划。b）以赋值：云服务商定义的深度和覆盖度执行选择：单元；集成；系统；回归测试或评估。每年第三方评估机构报告5.12增强要求e）要求信息系统、组件或服务的开发商按照赋值：云服务商定义的约束条件,以赋值：云服务商定义的广度和深度执行渗透性测试。每年第三方评

6、估机构报告每年云服务商报告组件真实性增强要求b）向选择：正品厂商；赋值：云服务商定义的外部报告机构；赋值：云服务商定义的人员和角色;其他有关方面报告鹰品组件。f）按照赋值：云服务商定义的频率检查信息系统中是否有鹰品组件。每季度云服务商证据5.15供应链保护一般要求b）确保赋值：云服务商定义的重要设备通过赋值：政府和行业有关部门已设立的信息安全测评制度的安全检测。每年云服务商证据5.17一般要求a）在连接外部系统的边界和内部关键边界上，对通信进行监控；在客户之外的外部人员访问系统的关键逻辑边界和客户访问系统的关键逻辑边界上，对通信进行监控。b）将允许外部公

7、开直接访问的组件，划分在一个与内部网络逻辑隔离的子网络上。并确保允许外部人员访问的组件与允许客户访问的组件在逻辑层面实现严格的网络隔离。c）确保与外部网络或信息系统的连接只能通过严格管理的接口进行，根据云服务商的安全架构，该接口上应部署有边界保护设备。实时云服务商证据系统与通信保护边界保护a）为云计算服务搭建物理独立的计算平台、存储平台、内部网络环境及相关维护、安防、电源等设施，并经由受控边界与外部网络相连。g）构建物理上独立的管理网络，连接管理工具和被管设备或资源，以对云计算平台进行管理。每年云服务商证据增强要求c）采取以下措施：1）对每一个外部的电信服务接口进

8、行管理。2）为每一个接口制定通信流策略。3）采取有关措施对所传输的信息流进行必要的保密性和完整性保护。4）当根据业务需要，出现通信流策略的例外情况时，将业务需求和通信持续时间记录到通信流策略的例外条款中。5）按照赋值：云服务商定义的频率,对网络通信流策略中的例外条款进行审查，在通信流策略中删除不再需要的例外条款。根据需要云服务商证据6.2恶意代码防护一般要求C）配置恶意代码防护机制，以：1）按照赋值：云服务商定义的频率定期扫描信息系统，以及在选择：终端；网络出入口下载、打开、执行外部文件时对其进行实时扫描。2）当检测到恶意代码后，实施选择：阻断或隔离恶意代码；向管理员报

9、警；赋值：云服务商定义的活动口。d）及时掌握系统的恶意代码误报率，并分析误报对信息系统可用性的潜在影响。每季度云服务商证据6.11访问控制鉴别凭证管理_般要求a）通过以下步骤管理鉴别凭证：4）针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程。6）明确鉴别凭证的最小和最大生存时间限制以及再用条件。每两年云服务商证据7.5a）通过以下步骤管理鉴别凭证：7）对赋值：云服务商定义的鉴别凭证,强制要求在赋值：云服务商定义的时间段之后更新鉴别凭证。b）对于基于口令的鉴别：4）强制执行最小和最大生存时间限制，以满足赋值：云服务商定义的最小生存时间和最大生存时间。每季

10、度云服务商证据账号管理一般要求i）按照赋值：云服务商定义的频率，检查账号是否符合账号管理的要求。每年云服务商证据7.8增强要求b）在赋值：云服务商定义的时间段后自动选项：删除；禁用临时和应急账号。c）在赋值：云服务商定义的时间段后自动关闭非活跃账号。每季度云服务商证据无线访问一般要求云服务商应禁用无线网络直接访问云计算平台。实时云服务商证据7.20可供公共访问的内容一般要求d）按照赋值：云服务商定义的频率审查公开发布的信息中是否含有非公开信息，一经发现，立即删除。每季度云服务商证据7.23配置管理配置管理计划增强要求a）制定并实施云计算平台的配置管理计划

11、。b）在配置管理计划中，规定配置管理相关人员的角色和职责，并详细规定配置管理的流程。c）在系统生命周期内，建立配置项标识和管理流程。d）定义信息系统的配置项并将其纳入配置管理计划。e）保护配置管理计划，以防非授权的泄露和变更。每年云服务商证据8.2变更控制一般要求d）审查所提交的信息系统受控配置的变更事项，根据安全影响分析结果进行批准或否决，并记录变更决定。e）保留信息系统中受控配置的变更记录。f）按照赋值：云服务商定义的频率对与系统受控配置的变更有关的活动进行审查。每年云服务商证据8.4最小功能原则增强要求a）按照赋值：云服务商定义的频率,对信息系统进行审查，以标识不

12、必要或不安全的功能、端口、协议或服务。b）关闭赋值：云服务商定义的不必要或不安全的功能、端口、协议和服务。c）信息系统应按照选择”赋值：云服务商定义的软件使用与限制策略；对软件使用的授权规贝亚禁止运行相关程序。d）按照白名单策略，确定赋值：云服务商定义的在云计算平台上允许运行的软件,禁止非授权软件在云计算平台上运行，并按照赋值：云服务商定义的频率,审查和更新授权软件列表。每月云服务商证据8.6信息系统组件清单一般要求a）制定和维护信息系统组件清单，该清单应满足下列要求：1）能准确反映当前信息系统的情况。2）与信息系统边界一致。3）达到信息安全管理所必要的颗粒度。4）包

13、含赋值：云服务商定义的为实现有效的资产追责所必要的信息。b）按照赋值：云服务商定义的频率,审查并更新信息系统组件清单。每年云服务商证据8.7增强要求a）按照赋值：云服务商定义的频率,使用自动机制检测云计算服务平台中新增的非授权软件、硬件或固件组件。实时云服务商证据维护远程维护一般要求f）对所有远程维护和诊断活动进行审计，按照赋值：云服务商定义的频率对所有远程维护和诊断会话的记录进行审查。每年云服务商证据9.4维护人员一般要求a）建立对维护人员的授权流程，对已获授权的维护组织或人员建立列表。每年云服务商证据9.5缺陷修复一般要求a）标识、报告和修复云计算平台的缺陷。b

14、）在与安全相关的软件和固件升级包发布后，及时安装升级包。每月云服务商证据9.7增强要求云服务商应使用自动检测机制，按照赋值：云服务商定义的频率对缺陷修复后的组件进行检测。每月云服务商证据安全功能验证_般要求a）验证赋值：云服务商定义的安全功能是否正常运行。每月云服务商证据9.8软件、固件、信息完整性增强要求a）按照赋值：云服务商定义的频率对云计算平台进行完整性扫描，并重新评估软件、固件和信息的完整性。每月云服务商证据9.9应急响应与灾备事件处理计划一般要求a）制定信息系统的事件处理计划，该计划应：1）说明启动事件处理计划的条件和方法。2）说明事件处理能力

15、的组织结构。3）定义需要报告的安全事件。4）提供组织内事件处理能力的度量目标。5）定义必要的资源和管理支持，以维护和增强事件处理能力。6）由赋值：云服务商定义的人员或角色审查和批准。b）向赋值：云服务商定义的人员、角色或部门, 发布事件处理计划。c）按照赋值：云服务商定义的频率,审查事件响应计划。d）如系统发生变更或事件响应计划在实施、执行或测试中遇到问题，及时修改事件处理计划并通报赋值：云服务商定义的人员、角色或部门。e）防止事件处理计划非授权泄露和更改。每年云服务商证据10.2事件处理一般要求c）将当前事件处理活动的经验，纳入事件处理、培训及演练计划，并实施相应的变更。每

16、年云服务商证据10.3事件报告一般要求a）根据应急响应计划，监控和报告安全事件。b）当发现可疑的安全事件时，在赋值：云服务商定义的时间段内，向本组织的事件处理部门报告。c）建立事件报告渠道，当发生影响较大的安全事件时，向国家和地方应急响应组织及有关信息安全主管部门报告。实时云服务商证据10.4根据需要云服务商报告应急响应计划一般要求c）按照赋值：云服务商定义的频率更新应急响应计划。每年云服务商证据10.8d）如系统发生变更或应急响应计划在实施、执行或测试中遇到问题，及时修改应急响应计划并向赋值：云服务商定义的人员、角色或部门及客户进行通报。根据需要云服务商

17、证据应急培训一般要求a）向赋值：云服务商定义的人员或角色提供应急响应培训。b）当信息系统变更时，或按照赋值：云服务商定义的频率,重新开展培训。每年云服务商证据10.9应急演练一般要求a）至少每年制定或修订应急演练计划，并与客户充分协商，听取客户意见。b）按照赋值：云服务商定义的频率,执行应急演练计划，并且至少在演练开始前赋值：云服务商与客户确定的时间之前通知客户和相关部门。每年云服务商证据10.10信息系统备份一般要求a）具备系统级备份能力，按照赋值：云服务商定义的频率,对信息系统中的系统级信息进行备份，如系统状态、操作系统及应用软件。e）具有验证信息系统备份连续

18、有效的方法，并按照赋值：云服务商定义的频率进行验证。每年云服务商证据10.11审计可审计事件一般要求c）制定信息系统内需连续审计的事件清单，并确定各事件的审计频率，该清单为上述可审计事件清单的子集。每年云服务商证据11.2增强要求云服务商应按照赋值：云服务商定义的频率对可审计清单进行审查和更新。实时云服务商证据审计的审查、分析和报告一般要求a）按照赋值：云服务商定义的频率对审计记录进行审查和分析，以发现赋值：云服务商定义的不当或异常活动,并向赋值：云服务商定义的人员或角色报告。每周云服务商证据11.6风险评估与持续监控策略与规程一般要求b）

19、按照赋值：云服务商定义的频率或当需要时，审查和更新综合风险管理策略、风险评估策略、持续性的监控策略及相关规程。每三年云服务商证据12.1根据需要云服务商证据风险评估一般要求b）按照赋值：云服务商定义的频率定期开展风险评估，或者在信息系统或运行环境发生重大变更（包括发现新的威胁和漏洞）时，或者在出现其他可能影响系统安全状态的条件时，重新进行风险评估。c）将评估结果记录在风险评估报告中，并将风险评估结果发布至赋值：云服务商定义的人员或角色。d）根据风险评估报告，有针对性地对云计算平台信息系统进行安全整改，将风险降低到赋值：云服务商定义的可接受的水平。每年云服务商证

20、据12.2根据需要云服务商证据脆弱性扫描一般要求a）使用脆弱性扫描工具和技术，按照赋值：云服务商定义的频率对云计算平台信息系统及其上的应用程序进行脆弱性扫描，并标识和报告可能影响该系统或应用的新漏洞。b）根据风险评估或脆弱性扫描结果，在赋值：云服务商定义的响应时间段内修复漏洞。每月云服务商证据12.3a）确保所使用的脆弱性扫描工具具有迅速更新漏洞库的能力。b）按选择“赋值：云服务商定义的频率；启动新的扫描前；新的漏洞信息发布后更新信息系统漏洞库。实时云服务商证据增强要求d）在脆弱性扫描活动中，使用特权账号对赋值：云服务商定义的信息系统组件进行赋值：云服务商定义

21、的脆弱性扫描行动,以实现更全面扫描。每月云服务商证据c）确保所使用的脆弱性扫描工具能够展现扫描所覆盖的广度和深度（如已扫描的信息系统组件和已核查的漏洞）。每月云服务商报告每年第三方评估机构报告持续一般要求a）制定持续性的监控策略，并实施持续性监控，内容包括：1）确定待监控的度量指标。2）确定监控频率。c）根据持续性监控策略，对已定义的度量指标进行持续的安全状态监控。d）对评估和监控产生的安全相关信息进行关联和分析。e）对安全相关信息分析结果进行响应。实时云服务商证据12.4监控f）按照赋值：云服务商定义的频率向赋值：云服务商定义的人员或角色报告信息系统安全状态。每月云

22、服务商证据每年云服务商证据增强要求云服务商应每年安排实施未事先声明的渗透性测试以及深度检测，以验证系统的安全状态。每年第三方评估机构报告一般要求a）能够针对赋值：云服务商定义的监测目标, 发现攻击行为。b）能够检测出非授权的本地、网络和远程连接。 c）能够通过赋值：云服务商定义的技术和方法, 发现对信息系统的非授权使用。d）能够对入侵监测工具收集的信息进行保护，防止非授权访问、修改或删除。e）当威胁环境发生变化、信息系统风险增加时，提升信息系统监测级别。f）确保信息系统监控活动符合关于隐私保护的相关政策法规。g）按照需要或赋值：云服务商定义的频率,向赋值：云服务商定义的

23、人员或角色提供赋值：云服务商定义的信息系统监控信息。实时云服务商证据信息系统监测增强要求a）使用自动工具对攻击事件进行准实时分析。b）信息系统应按照赋值：云服务商定义的频率监测进出的通信，以发现异常或非授权的行为。c）当下述迹象发生时，信息系统应向赋值：云服务商定义的人员或角色发出警报：1）受保护的信息系统文件或目录在没有得到正常的变更或配置管理渠道通知的情况下被修改。2）当发生异常资源消耗时。3）审计功能被禁止或修改，导致审计可见性降低。 4）审计或日志记录在无法解释的情况下被删除或修改。5）预期之外的用户发起了资源或服务请求。6）信息系统报告了管理员或关键服务账号的登录

24、失败或口令变更情况。7）进程或服务的运行方式与系统的一般情况不符。8）在生产系统上保存或安装与业务无关的程序、工具、脚本。d）防止非授权用户绕过入侵检测和入侵防御机制。e）对信息系统运行状态（包括CPU、内存、网络）进行监视，并能够对资源的非法越界使用发出警报。实时云服务商证据12.5垃圾信息监测一般要求a）在系统的出入口和网络中的工作站、服务器或移动计算设备上部署垃圾信息监测与防护机制，以检测并应对电子邮件、电子邮件附件、web访问或其他渠道的垃圾信息。b）在出现新的发布包时，及时更新垃圾信息监测与防护机制。实时云服务商证据12.6安全组织与人员安全组织一

25、般要求a）建立管理框架来启动和控制组织内信息安全的实现：1）设立赋值：云服务商定义的人员或角色作为信息安全的第一负责人，由本组织最高管理层人员担任。2）设立赋值：云服务商定义的部门作为信息安全的责任部门，并通过赋值：云服务商定义的机制与本组织其他业务部门协调。b）建立赋值：云服务商定义的机制,以保持与赋值：云服务商定义的外部组织的适当联系。c）实施内部威胁防范程序，包括跨部门的内部威胁事件处理团队。每两年云服务商证据13.2安全规章制度一般要求a）制定信息安全规章制度，并传达至内外部相关人员。b）在信息安全策略或计划发生变更时，或者按照赋值：云服务商定义的频率,评审和

26、更新信息安全规章制度，以确保其持续的适用性和有效性。每年云服务商证据13.4人员筛选一般要求a）确保授权访问信息系统的人员已经经过筛选，人员背景信息和筛选结果应可供客户查阅。b）按照赋值：云服务商定义的再筛选条件和频率,审查访问人员的再筛选结果。五每年云服务商证据13.6访问协议一般要求a）制定云计算平台的访问协议。b）按照赋值：云服务商定义的频率,评审和更新该访问协议。c）确保云计算平台的访问人员：1）在被授予访问权之前，签署合适的访问协议。2）根据工作需要，或者按照赋值：云服务商定义的频率,重新签署访问协议。每年云服务商证据13.9安全培训一般要求a）在以下情况

27、下为信息系统用户（包括管理层人员和合同商）提供基础的安全意识培训：1）作为新用户初始培训的一部分。2）在因信息系统变更而需要时。3）按照赋值：云服务商定义的频率。b）在以下情况下为被分配了安全角色和职责的人员提供基于角色的安全技能培训：1）在授权访问信息系统或者执行所分配的职责之前。2）在因信息系统变更而需要时“3）按照赋值：云服务商定义的频率。d）按照赋值：云服务商定义的时间段,保存人员的培训记录。每年云服务商证据13.12物理与环境安物理环境访问一般要求a）制定和维护具有机房访问权限的人员名单。每三年云服务商证据14.4c）按照赋值：云服务商定义的频率对授权人员每年

28、云服证据全授权名单和凭证进行审查。务商物理环境访问控制一般要求a）对所有机房的赋值：云服务商定义的机房出入点实施物理访问授权，具体包括：在准许进入机房前验证其访问授权、使用赋值：云服务商定义的物理访问控制系统或设备或警卫实施机房出入控制等。b）制定和维护赋值：云服务商定义的出入点的物理访问审计日志。每年云服务商证据14.5f）按照赋值：云服务商定义的频率对赋值：云服务商定义的物理访问设备进行盘点。g）按照赋值：云服务商定义的频率或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下，更换钥匙和访问凭证。每年云服务商证据根据需要云服务商证据物理访问监控一般要

29、求b）按照赋值：云服务商定义的频率,或当赋值：云服务商定义的事件发生或有迹象发生时，对物理访问日志进行审查。每月云服务商证据14.8访客访问记录一般要求a）制定和维护云计算平台机房的访客访问记录，并保留至赋值：云服务商定义的时间段。b）按照赋值：云服务商定义的频率对访问记录进行审查。每月云服务商证据14.9温湿度控制能力一般要求a）维护云计算平台所在机房的温湿度，使其符合 GB 50174-2008电子信息系统机房设计规范的相关规定。b）实时监控温湿度水平。实时云服务商证据14.13参考文献fl GB/T32400-2015信息技术云计算概览与词汇2 GB/T

30、 311672014信息安全技术云计算服务安全指南3 GB/T 311682014信息安全技术云计算服务安全能力要求4 GB/T 32399-2015信息安全技术云计算参考架构5 GB/T243632(X)9信息安全技术信息安全应急响应计划规范16 GB/T 209842007信息安全技术信息安全风险评估规范17 FedRAMP Continuous Monitoring Strategy & Guide. Version 2.0, June 6, 201418 FedRAMP Incident Communications Procedure. Version 1.0. April 8,

31、201319 NIST Spccail Publication 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations. September 2011第三方评估机构 Thi rd Party Assessment Organizations （3PAO）独立于云计算服务相关方的专业评估机构。4缩略语下列缩略语适用于本文件。CSCCloud Service CustomerCSPCloud Service ProviderOSOOpe

32、ration Supervision Organization3PAOThird Party Assessment Organization5云计算服务运行监管框架1.1 概述云计算服务运行监管应确保云服务商的云安全控制措施、重大变更管理及应急响应能力持续满足要求，应为云服务相关方提供云服务平台相关的安全信息以便其能及时地掌握云计算服务的安全状态。1.2 运行监管框架云计算服务运行监管框架是基于国家标准GB/T 31167-2014信息安全技术云计算服务安全指南和GB/T311682014信息安全技术云计算服务安全能力要求中对云计算服务运行监管的安全要求而提出的。云计算服务运行监管框架

33、如图1所示，提交材料云计算服务监管活动图1运行监管框架云服务商持续监控云计算平台中安全控制、变更管理.、应急响应策略、计戈人规程及措施的实施, 并记录相关信息及实施情况，形成证明材料交付件；云服务商应根据运行监管方需要的频率，定期提交证明材料交付件；运行监管方对云服务商提交的交付件进行分析审核、评估验证等监管活动，形成评估结果；必要时应根据评估结果给出合理的意见和建议。5. 2.1运行监管角色运行监管框架包含两个角色：a）云服务商：已经通过国家网络安全审查并授权提供云服务的供应方；b）运行监管方：云服务客户的管理部门（例如：政府信息安全管理部门、云服务客户的主管部门等）或由其指定或委托的

34、第三方独立监管机构。6. 2.2运行监管目的运行监管的目的是保障：a）云计算服务持续满足国家相关法律法规、行政命令、指令、政策、条例和指导方针；b）云服务商严格履行GBb 311672014信息安全技术云计算服务安全指南规定的运行监管责任；c）云计算服务安全能力持续满足国家标准GB 311682014信息安全技术云计算服务安全能力要求规定的要求；d）云计算服务相关方能够及时地、有效地掌握云计算服务的运行质量和安全状态；c）云计算服务的透明及可信；0 云计算服务的安全风险持续可控；g）云服务商不断提升云服务平台的安全能力。5. 2.3运行监管内容运行监管的内容应包含：a）云服务商在云服务平台

35、中计划并实施的安全控制措施的有效性，确保云服务平台中的安全控制措施持续有效；b）云服务商在云服务平台中计划并实施的重大变更活动的情况，确保云服务平台中的重大变更活动风险可控；c）云服务商对云服务平台中的重大安全事件的响应情况，确保云服务平台中的应急响应活动及时充分。运行监管活动运行监管方应对云计算服务开展安全控制监管、变更管理监管和应急响应监管等活动，采用的方式可包含：a）分析审核：运行监管方对云服务商提交的有关安全控制、变更管理及应急响应相关的证明材料交付件进行分析及审核；a）评估验证：运行监管方根据分析、审核结果对云服务平台的安全风险进行评估，必要时应以抽查、核查及测试等方式对

36、交付件中的内容进行验证；b）监管结果：运行监管方根据评估验证结论，形成评估报告并告知云服务商评估结果，必要时应给出合理的意见和建议。5. 2.5运行监管职责5.2.5. 1云服务商的职责云服务商的监管职责如下：a）严格履行GB/T 311672014信息安全技术云计算服务安全指南中云服务商应承担的运行监管责任；b）严格履行GB/T311682014信息安全技术云计算服务安全能力要求中应承担的监管责任： c）严格满足GB“ 311682014信息安全技术云计算服务安全能力要求中的安全能力要求; d）制定并实施安全控制策略与计划，确保安全控制措施持续有效；c）制定并实施重大变更策略与规程、配

37、置管理计划与配置基线；0 制定并实施应急响应计划、重大安全事件处理策略；g）制定并实施持续监控策略与计划，针对云平台的控制措施、受控配置及运行状态实施监控；h）开展周期性的风险评估，在云平台发生重大安全事件时或实施重大变更后，应重新进行风险评估，将记录有评估结果的风险评估报告提交给运行监管方；i）按照运行监管方的要求记录有关安全控制措施、重大变更及应急响应的相关信息及实施情况并归档，以支撑运行监管活动。5. 2, 5. 2运行监管方的职责运行监管方的监管职责如下：a）监督云服务商履行GB/T 311672014信息安全技术云计算服务安全指南中应实施的运行监管措施；b）监督云服务商履行GB

38、/T3II682014信息安全技术云计算服务安全能力要求中应实施的安全措施：c）监督云服务商达到GB/T3II682014信息安全技术云计算服务安全能力要求中的安全能力要求；d）制定并维护运行监管策略与计划，对云服务商的云服务平台实施运行监管活动；e）制定并维护运行监管活动中所需交付件的内容及格式要求，必要时应提供模版；D 定期接收云服务商提交的相关证明材料的交付件，对交付件内容进行分析、评估及审核；g）评估云服务商的安全控制策略与计划、安全控制措施并监督其实施情况，必要时应给出合理的意见和建议；h）评估云服务商的重大变更策略与规程、配置管理计划与配置基线并监督其实施情况，必要时应给出

39、合理的意见和建议；i）评估云服务商的应急响应计划、重大安全事件处理策略并监督其实施情况，必要时应给出合理的意见和建议；j）定期对云服务商的云服务平台的安全性、透明性、可用性等安全属性实施全面分析与评估，形成评估报告并归档，必要时应给出合理的意见和建议。6云计算服务运行监管过程6.1 概述云计算服务运行监管过程主要针对云计算服务的安全控制、变更管理、应急响应的运行监管。云计算服务运行监管过程的一个重要作用就是要求云服务商提供证据以证明其云服务安全能力持续符合 GB/T3II682014信息安全技术云计算服务安全能力要求，证明其实施的安全控制措施的有效性、变更管理的合理性及应急响应的充分

40、性。云计算服务运行监管的活动包含三个部分：a）安全控制监管；b）变更管理监管；c）应急响应监管。6.2 安全控制监管安全控制监管有助于运行监管方对云服务商实施的安全控制措施有全面的认知，同时，方便运行监管方了解并掌握安全控制措施的运行情况，以便运行监管方分析、审核、评估、验证云服务平台的安全性及安全控制措施的有效性。1.1 .1安全控制监管要求1.2 . 1.1云服务商的要求a）云服务商应：根据GB/T 311682014信息安全技术云计算服务安全能力要求中相关安全能力要求制定安全控制策略与计划，并实施相应的安全控制措施；b）制定并实施持续监控策略，对已实施的安全控制措施进行持续监控：c

41、）定期维护并更新云服务平台中的安全控制措施，确保其持续有效；d）定期对云服务平台中已实施的安全控制措施进行测评并形成测评报告；c）记录云服务平台中有关安全控制措施的相关信息及实施情况并归档：0 根据运行监管方的要求，提交有关安全控制措施的相关交付件。运行监管方的要求运行监管方应：a）监督云服务商严格履行安全控制策略与计划并实施安全控制措施；b）监督云服务商严格履行持续监控策略并对已实施的安全控制措施进行持续监控；c）分析、评估、审核云服务商提交的与安全控制措施相关的交付件，确保安全控制措施的合规性；d）监督云服务商对不合规的安全控制措施进行整改，并跟踪整改情况；e）根据需要的频率，以审查、抽

42、查、测试、评估等方式对云服务商的安全控制措施的有效性进行验证；安全控制监管的内容安全控制监管的目的是要求云服务商提供能证明其实施的安全控制措施满足GB/T 31168-2014 信息安全技术云计算服务安全能力要求的交付件。通过国家网络安全审查并授权为政府部门提供云计算服务的云服务商，为保证审查结论持续有效，应以与运行监管方约定的时间点（天、周、月、年等）或运行监管方需要的频率定期提交能证明其安全控制措施有效性的交付件。附录A中所示的是安全控制监管所要求提交的证明材料交付件。6. 2.3安全控制监管流程安全控制的监管流程如下：a）云服务商制定安全控制策略与计划，并实施安全控制措施；b）云服

43、务商制定持续监控策略，并对已实施的安全控制措施进行持续监控；O 云服务商定期提交能证明其安全控制措施有效性的相关交付件，例如，运行监管方可根据GB/T 31168-2014信息安全技术云计算服务安全能力要求中的相关安全能力要求提供系统安全计划、系统风险持续改进等证明材料模版，以便云服务商根据要求填写；d）运行监管方对云服务商提交的交付件进行分析、评估及审核，并将评审结果告知云服务商，例如，安全控制措施合规或安全控制措施不合规应限期整改等；e）云服务商应定期委托第三方评估机构或有评估资质的运行监管方对云服务平台中已实施的安全控制措施进行测评，安全测试内容包括但不限于云平台系统/组件、基础设施、数据库、物理环境等，并提交相应的测评报告给运行监管方，例如，安全措施测评报告、渗透测试报告、脆弱性扫描报告等；f）运行监管方可根据云服务客户要求或安全监管需求，以审查、抽查、测试、评估等方式定期或不定期地对云服务商的安全控制措施的有效性进行验证；g）如果云服务商的安全控制措施不合规，运行监管方可要求云服务商对不合规的安全控制措施限期整改并跟踪整改情况，整改完成后重新进行评估、审核。6.3变更管理监管变更管理过程有助于维持云服务平台的安全配置基线，预防重大安全事件的发生。云服务商应制定配置管理计划、变更管理方法、变更实施流程等策略与规程对例行的日常

展开阅读全文