GB/T 31167-2023信息安全技术云计算服务安全指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31167—2023

代替GB/T31167—2014

信息安全技术云计算服务安全指南

Informationsecuritytechnology—Securityguidanceforcloudcomputingservices

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31167—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

云计算服务安全管理

5……………………3

概述

5.1…………………3

采用云计算服务的安全管理责任

5.2…………………3

云计算服务安全管理基本原则

5.3……………………4

云计算服务生命周期安全管理

5.4……………………4

规划准备

6…………………5

概述

6.1…………………5

数据分类

6.2……………5

业务分类

6.3……………5

安全能力级别

6.4………………………6

需求分析

6.5……………7

形成决策报告

6.6………………………10

选择云服务商与部署

7……………………10

云服务商安全能力要求

7.1……………10

选择云服务商

7.2………………………10

合同中的安全考虑

7.3…………………11

部署

7.4…………………12

运行监管

8…………………13

概述

8.1…………………13

云服务商和客户运行监管的角色与责任

8.2…………13

客户自身的运行监管

8.3………………14

对云服务商的运行监管

8.4……………15

退出服务

9…………………16

退出要求

9.1……………16

确定数据移交范围

9.2…………………16

验证数据的完整性

9.3…………………17

安全删除数据

9.4………………………17

附录资料性安全责任划分示例

A()……………………18

附录资料性云计算安全风险

B()………………………21

参考文献

……………………23

Ⅰ

GB/T31167—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术云计算服务安全指南与相

GB/T31167—2014《》,GB/T31167—2014

比除结构调整和编辑性改动外主要技术变化如下

,,:

更改了适用范围由政府部门更改为客户见第章见年版的第章

———,“”“”(1,20141);

增加了对见第章见

———GB/T32400—2015(3)、GB/T36325—2018(7.3.3)、GB/T37972—2019

见的规范性引用

(8.1);

增加并更改了部分术语见第章年版的第章

———(3,20143);

增加了缩略语一章见第章

———“”(4);

删除了云计算的概述见年版第章

———“”(20144);

增加了云能力类型和云服务类别的引用全文

———“”“”();

将年版中的云计算安全风险作为资料性附录见附录

———2014“5.2”(B);

将年版内容作为角色及职责章节内容并增加云服务安全提供商作为云

———20145.3“5.2.1”,“”

计算服务安全管理的新角色见

(5.2.1);

增加了安全责任划分的指导和示例见和附录

———“”(5.2.2A);

将审查更改为评估与相关文件统一名称全文

———“”“”,();

删除了效益评估见年版的

———“”(20146.2);

更改了年版政府信息分类的标题和内容见

———2014“6.3”(6.2);

删除了敏感信息和公开信息相关的技术内容见年版的

———“”“”(20146.3.2、6.3.3);

将标题政府业务分类更改为业务分类扩大了业务范围见见年版的

———“”“”,(6.3,20146.4);

更改了业务分类中关键业务的条件见见年版的

———(6.3.4,20146.4.4);

删除了优先级确定的内容见年版的

———“”(20146.5);

更改了安全保护要求提出了三级安全能力级别见见年版的

———,(6.4,20146.6);

更改了年版中的图增加了关键业务类型和高级安全能力见图

———20143,(2);

删除了概述见年版的

———“6.7.1”(20146.7.1);

更改了年版中服务模式标题及内容由服务模式划分控制范围更改为通过能力

———2014“6.7.2”,

类型划分控制范围见

(6.5.1);

更改了年版中的图将服务模式改为基本云服务能力类型见图

———20144,(3);

增加了指导客户在迁移时对业务系统集成需求的考虑见见年版的

———(6.5.7,20146.7.8);

更改了年版数据的存储位置的技术内容见

———2014“6.7.9”(6.5.8);

更改了云服务商安全能力要求的内容具体要求参见见见

———“7.1”,GB/T31168—2023(7.1,

年版的

20147.1);

删除了年版中的至章节见年版

———20147.1.17.1.10(20147.1.1~7.1.10);

将年版本中的内容合并至见见年版的

———20147.2.27.2(7.2,20147.2);

增加了服务水平协议的相关文件引用见见年版的

———(7.3.3,20147.3.3);

更改了概述的内容引入为云服务商和运行监管方开展云计算服务

———“8.1”,GB/T37972—2019

运行监管活动提供指导见见年版的

(8.1,20148.1);

更改了概述的内容强调对云服务安全提供商的运行监管责任应由引入方承担见

———“8.2.1”,(

Ⅲ

GB/T31167—2023

见年版的

8.2.1,20148.2.1);

增加了运行监管中客户的相关责任见见年版的

———(8.2.2,20148.2.2);

增加了重大变更的类型见见年版本的

———(8.4.3,20148.4.2);

增加了安全事件的类型见见年版本的

———(8.4.4,20148.4.3);

增加了迁移原则一节用于指导客户在迁移数据时宜要求云服务商遵循的原则见

———“”,(9.2.1);

将年版中确定移交范围的内容更改为移交范围见

———2014“9.2”“9.2.2”(9.2.2);

删除了安全删除数据中条措施中的存放敏感信息的介质清理后不能用于存放公

———“9.4”c)“3)

开信息见年版的

”(20149.4);

将年版中的安全删除数据中条措施中的脚注作为条措施中注见

———2014“9.4”c)c)(9.4)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位四川大学中国科学技术大学北京信息安全测评中心华为技术有限公司中国

:、、、、

电子技术标准化研究院北京天融信网络安全技术有限公司国家信息技术安全研究中心中国网络安

、、、

全审查技术与认证中心中国移动通信集团有限公司陕西省信息化工程研究院国家工业信息安全发

、、、

展研究中心浪潮云信息技术股份公司深信服科技股份有限公司中国信息安全测评中心北京杭州

、、、()、

安恒信息技术股份有限公司中国电子科技集团公司第三十研究所华信咨询设计研究院有限公司中

、、、

电长城网际系统应用有限公司成都蜀道易信科技有限公司新华三技术有限公司腾讯云计算北京

、、、()

有限责任公司

。

本文件主要起草人陈兴蜀周亚超王启旭闵京华杨苗苗罗永刚张建军杨建军左晓栋

:、、、、、、、、、

刘海峰张滨江为强李媛严敏瑞王龑王惠莅张明天张勇卢夏伍扬陈雪鸿史大为柳彩云

、、、、、、、、、、、、、、

张敏邱勤吴复伟张晓菲赵丹丹望娅露刘俊河章建聪陈静万晓兰马洪军张格董平于乐

、、、、、、、、、、、、、、

尹丽波赵章界朱毅邱云翔王永霞

、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2014GB/T31167—2014;

本次为第一次修订

———。

Ⅳ

GB/T31167—2023

引言

本文件与信息安全技术云计算服务安全能力要求构成了云计算服务安全

GB/T31168—2023《》

管理的基础文件面向云服务商描述了为客户提供云计算服务时应具备的安全能

。GB/T31168—2023

力本文件面向客户提出了采用云计算服务时的安全管理和技术措施

,。

本文件指导客户做好采用云计算服务的前期分析和规划选择合适的云服务商与部署模式对云计

,,

算服务进行运行监管规避退出云计算服务或更换云服务商的安全风险本文件指导客户在采用云计

,。

算服务的生命周期采取相应的安全技术和管理措施保障数据和业务的安全安全地使用云计算服务

,,。

Ⅴ

GB/T31167—2023

信息安全技术云计算服务安全指南

1范围

本文件提出了客户采用云计算服务的安全管理基本原则给出了采用云计算服务的生命周期各阶

,

段的安全管理和技术措施提出了云计算服务安全管理原则和相关责任划分

,。

本文件适用于指导客户安全地采用云计算服务

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,