GB/T 38249-2019信息安全技术政府网站云计算服务安全指南

ICS35040

L80.

中华人民共和国国家标准

GB/T38249—2019

信息安全技术

政府网站云计算服务安全指南

Informationsecuritytechnology—

Securityguideofcloudcomputingservicesforgovernmentwebsite

2019-10-18发布2020-05-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T38249—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………1

安全角色

4.1……………1

云计算服务生命周期

4.2………………2

规划准备

5…………………2

概述

5.1…………………2

安全职责

5.2……………3

需求分析

5.3……………3

服务商选择

5.4…………………………5

合同签订

5.5……………5

云迁移方案

5.6…………………………6

部署迁移

6…………………6

概述

6.1…………………6

安全职责

6.2……………6

云迁移实施

6.3…………………………7

云迁移交付

6.4…………………………8

运行管理

7…………………9

概述

7.1…………………9

安全职责

7.2……………9

安全防范

7.3……………10

安全监测

7.4……………10

应急响应

7.5……………10

评估改进

7.6……………11

服务退出

8…………………11

概述

8.1…………………11

安全职责

8.2……………11

服务退出安全

8.3………………………12

参考文献

……………………13

Ⅰ

GB/T38249—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位西安未来国际信息股份有限公司阿里云计算有限公司中国电子技术标准化研

:、、

究院四川大学北京信息安全测评中心国家信息技术安全研究中心华为技术有限公司杭州安恒信

、、、、、

息技术有限公司北京安信天行科技有限公司北京京东尚科信息技术有限公司深信服科技股份有限

、、、

公司北京时代远景信息技术研究院中国电信集团有限公司首都之窗烽火科技集团有限公司杭州

、、、、、

迪普科技股份有限公司广州赛宝认证中心服务有限公司西北大学

、、。

本标准主要起草人刘贤刚陈兴蜀叶润国王茜史晨昱刘俊河白峰张磊张辉石慧沈锡镛

:、、、、、、、、、、、

陈雪秀赵章界耿涛周俊钟金鑫李媛何明刘国伟江舟孙骞路琨张月王涛李瑞涛黄少青

、、、、、、、、、、、、、、、

许玉娜庞思铭齐蕙杰贾思琦周立勇商涛赵少敏

、、、、、、。

Ⅲ

GB/T38249—2019

引言

在大力推动政府网站选择云服务的背景下云计算受到广泛的关注在云计算服务模式下在大多

,。,

数传统信息安全问题依然存在的同时还出现了一些新的安全风险

,。

提出了政府部门采用云计算服务的安全管理基本要求以及云计算服务生命周期各

GB/T31167,

阶段的安全管理和技术要求

。

本标准则给出了政务网站采用云计算服务中各种参与角色的安全职责细化了云服务商和云服务

,

代理商的安全责任可用于指导采用云计算服务的政府机构的网站安全保障建设

,。

Ⅳ

GB/T38249—2019

信息安全技术

政府网站云计算服务安全指南

范围

1

本标准给出了政府网站采用云计算服务过程中在规划准备部署迁移运行管理服务退出等阶段

,、、、

的安全技术措施和安全管理措施

。

本标准适用于为采用云计算服务特别是社会化云计算服务的政务网站提供建设与运营指导

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069

信息安全技术云计算服务安全指南

GB/T31167

信息安全技术云计算服务安全能力要求

GB/T31168

信息安全技术政府门户网站系统安全技术指南

GB/T31506—2015

3术语和定义

界定的以及下列术语和定义适用于本文件

G