云计算服务安全指南解读(GB-T-31167)

云计算服务安全指南解读云计算服务安全指南解读(GB-T_31167)云计算初探云计算概述云计算风险生命周期术语和定义云计算特征云计算安全风险规划准备服务、部署云计算优势角色及职责基本要求运行监管退出服务选择服务商与部署云计算服务安全指南解读(GB-T_31167)云计算概述（术语与定义）A.云计算通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自主获取和管理资源的模式.云计算基础设施云计算平台云计算服务云计算环境云服务客户云服务商第三方评估机构云计算服务安全指南解读(GB-T_31167)云计算概述（云计算特征—服务模式—部署模式）A.云计算特征a）按需自助服务b）泛在接入c）资源池化d）快速伸缩性e）服务可计量B.云计算的服务模式a）软件即服务（SaaS）b）平台即服务（PaaS）c）基础设施即服务（IaaS）C.云计算的部署模式a）私有云b）公有云c）社区云d）混合云云计算服务安全指南解读(GB-T_31167)云计算概述（云计算的优势）减少开销和能耗1增加业务的灵活性2提高业务系统的可用性3提升专业性4云计算服务安全指南解读(GB-T_31167)云计算风险（云计算安全风险）A、客户对数据和业务系统的控制能力减弱B、客户与云服务商之间的责任难以界定F、数据残留E、数据保护更加困难C、可能产生司法管辖权问题G、容易产生对云服务商的过度依赖D、数据所有权保障面临风险云计算服务安全指南解读(GB-T_31167)云计算风险（角色及职责—基本要求）云服务商客户第三方评估机构-通过安全审查；-进行运行监管；-满足客户数据和业务的迁移需求。-选择合适的云服务商；-数据和业务的最终安全责任；-监管活动根据规定开展安全检查。-对云服务商及云计算

服务开展独立的安全评估；1. 安全管理责任不变客户是信息安全的最终责任人2. 资源的所有权不变客户提供的数据、设备等资源，运行过程中收集、产生、存储数据和文档都属于客户；3. 司法管辖关系不变 客户数据和业务的司法管辖权不应因采用云计算服务而改变；云服务商不得将客户数据及相关信息提供给他国政府及组织；4. 安全管理水平不变遵守政府信息系统系统安全管理政策及标准；5. 坚持先审后用原则云服务商通过安全审查；客户选择通过审查的云服务商。基本要求客户与云服务商云计算服务安全指南解读(GB-T_31167)云计算生命周期规划准备选择服务商与部署运行监管退出服务变更服务商云计算服务安全指南解读(GB-T_31167)云计算生命周期（规划准备）概述政府信息分类政府业务分类优先级确定安全保护要求需求分析形成决策报告效益评估效益评估建设成本运维成本人力成本性能和质量创新性政府信息分类信息分类原则敏感信息公开信息涉密信息非涉密信息政府业务分类一般业务重要业务关键业务需求分析服务模式部署模式功能需求的稳定性和通用性资源的动态需求特点时延业务连续性可移植性与互操作性数据的存储位置监管能力云计算服务安全指南解读(GB-T_31167)云计算生命周期（选择服务商与部署）部署云服务商的安全能力要求合同中的安全考虑确认云服务商云服务商安全能力系统与通信保护系统开发与供应链安全访问控制配置管理维护应急响应与灾备审计风险评估与持续监控安全组织与人员物理与环境保护合同中的安全考虑云服务商的责任和义务服务水平协议保密协议合同的信息安全相关内容云计算服务安全指南解读(GB-T_31167)云计算生命周期（运行监管）目标角色职责客户自身运行监管云服务商运行监管

合同规定的责任义务和相关政策规定得到落实，技术标准得到有效实施

服务质量达到合同要求重大变更时客户数据和业务的方向及时有效的响应安全事件

客户要按照合同、规章制度和标准加强对云服务商和自身的运行监管，云服务商、第三方评估机构应积极参与和配合客户、云服务商应明确负责运行监管的责任人和联系方式对违规及违约情况的监管对安全措施的监管运行状态监管重大变更监管安全事件监管云计算服务安全指南解读(GB-T_31167)云计算生命周期（退出服务）云计算服务安全指南解读(GB-T_31167)结束语