信息安全技术 政府网站云计算服务安全指南-编制说明

任务来源《信息安全技术政府网站云计算服务安全指南》是由西安未来国际信息股份有限公司于2016年5月申请立项的国家标准项目，2016年7月中央网信办网络安全协调局正式下达任务书“信息安全技术政府网站云计算服务安全指南”。“信息安全技术政府网站云计算服务安全指南”由西安未来国际信息股份有限公司、阿里云计算有限公司、中国电子技术标准化研究院、北京时代远景信息技术研究院主要负责起草，北京信息安全测评中心、华为技术有限公司、杭州安恒信息技术有限公司、北京安信天行科技有限公司、北京京东尚科信息技术有限公司、国家信息技术安全研究中心、深信服科技股份有限公司、中国电信集团公司、烽火科技集团有限公司、杭州迪普科技股份有限公司、广州赛宝认证中心服务有限公司、首都之窗、西北大学等单位共同参与了该标准的起草工作，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。主要工作过程1、2016年3月至5月，进行《政府网站云计算服务安全指南》标准调研论证，完成标准草案初稿；2、2016年6月16日，全国信息安全标准化技术委员会2016年第一次工作组会议周，对标准的立项必要性、标准主要内容等进行讨论；3、2016年7月14日，正式成立标准编制组，召开第一次工作组会议，讨论标准框架，编写思路，编制分工等事宜，征求专家意见；4、2016年8月29日，召开第二次工作组会议，重点讨论标准草案第一版角色定义、角色划分、各阶段技术要求；5、2016年10月18日，西安未来国际信息股份有限公司代表编制组在全国信息安全标准化技术委员会2016年第二次工作组会议周进行工作汇报，工作组成员单位对标准工作提出了建议和意见；6、2016年11月23日，召开第三次工作组会议，讨论标准草案第二版要求，重点讨论角色划分与职责定义；7、2017年3月3日，召开第四次工作组会议，讨论标准草案第三版要求，重点讨论每个阶段的技术要求；8、2017年4月11日，全国信息安全标准化技术委员会2017年第一次工作组会议周，会上各位专家对最新的标准草案内容发表了意见，并提出了宝贵的修改意见及建议；9、2017年4月28日，召开第五次工作组会议，讨论标准草案第四版，对标准全文进行了梳理；10、2017年6月14日，召开第六次工作组会议，讨论标准草案第五版，对运行管理阶段和反馈意见进行了讨论，对标准题目的修改达成了一致意见，对标准的内容细节提出了修改建议。11、2017年6月26日，西安未来国际信息股份有限公司邀请相关专家在中国电子技术标准化研究院会议室对标准进行了评审和研讨，各位专家对草案内容提出了各自的见解，并提出了合理的意见和建议。12、2017年6月28日，西安未来国际信息股份有限公司代表编制组在大数据工作组会议上进行汇报，工作组同意形成征求意见稿。13、2017年7月，根据修改意见进行了标准草案的修改完善，进行了提交。编制原则和主要内容编制原则《信息安全技术政府网站云计算服务安全指南》是指导政府和规范政府网站采用云计算服务的工作流程，以及规定的安全技术和管理措施。在政府部门采用云计算服务的应用前景下，针对政府网站采用云计算服务所面临的安全风险，明确安全目标，制定了政府部门采用云计算服务所涉及的角色、角色职责、技术要求，以指导和规范政府部门采用云计算服务。本标准遵从国家标准GB/T31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T31168-2014《信息安全国家标准—云计算服务安全能力要求》、GB/T31506-2015《信息安全技术政府网站系统安全技术指南》等标准规范，按照云计算服务生命周期划分政府网站采用云计算服务的四个阶段，明确了各阶段的技术要求，并对采用云计算服务过程中涉及的四个角色（包含云服务客户、云服务商、云客户供应链服务商、第三方服务商）在四个阶段的职责进行了划分。主要内容本标准主要内容分为5个章节，分别针对政府网站采用云计算服务面临的风险、采用云计算服务的四个阶段过程进行了详细的说明。本标准规定了政府网站采用云计算服务过程中涉及到的云服务商、云服务客户、云客户供应链服务商、第三方评估机构四个角色及安全责任，并明确了政府网站在采用云计算服务时，在规划准备、部署迁移、安全运行管理、退出服务等阶段应采取的安全技术和管理措施，为政府网站采用云计算服务提供指导。本标准适用于建成的政府网站采用云计算服务，对于新建政府网站采用云计算服务可参照使用。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果当前，国家推进政府网站采用云计算服务，这种方式有利于政务信息系统的整体部署和共建共用，便于信息资源的汇聚共享，降低信息化建设成本，有利于推动政府网站云计算服务集约化发展。为加强政府网站云计算服务网络安全管理，需要对政府网站云计算服务过程中的安全要求及责任进行明确规定，便于各角色履行各自的职责，保障政府网站云计算服务使用健康、有序的发展。2014年，我国发布了云计算的两个基础标准：GB/T31167-2014《信息安全国家标准—云计算服务安全指南》和GB/T31168-2014《信息安全国家标准—云计算服务安全能力要求》。这两个标准的制定和发布，有力地推动了云计算技术在我国的推广和应用，为政府部门和重点行业采用云计算服务提供安全指导并进行安全管理。本标准对上述两个标准进行了补充，规范了政府部门采用云计算服务涉及的相关角色，并对每个角色在每个阶段的安全责任和安全要求进行了定义，为政府网上云和上云后的安全运行等问题进行了指导和规范。本标准的制定有利于政府网站逐步迁移上云，停止服务器、存储等相关软硬件的采购；有利于对政府网站的统一监管、统一安全保障；有利于推广政府部门网站采用云计算服务和应用。采用国际标准和国外先进标准的程度本标准为自主制定。与有关的现行法律、法规和强制性国家标准的关系本标准符合现有法律法规的要求，能配合国家相关政策文件的实施，并且本标准中规定的内容遵从云计算国家标准GB/T31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T31168-2014《信息安全国家标准—云计算服务安全能力要求》等一系列标准的定义，又继成GB/T31506-201《信息安全技术—政府门户网站系统安全技术指南》、《信息安全技术信息系统安全等级保护云计算安全要求》的相关技术要求。本标准可以作为云计算相关标准在政府部门具体采用云计算应用上的补充，完善云计算标准体系建设。重大分歧意见的处理经过和依据项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循GB/T1.1—2009编制原则，对国内外现状做了大量调研，完成了标准草案的编写工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作，处理经过详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准作为政府网站采用云计算服务的安全指南，能配套国家标准GB/T31167-2014《信息安全技术—云计算服务安全指南》、GB/T31168-2014《信息安全技术—云计算服务安全能力要求》的实施，为政府部门采用云计算服务提供指导。本项目制定的标准将为政府部门网站采用云计算服务提供全生命周期的安全技术要求指导，提供责任划分指导，适用于政府部门采购和使用云计算服务保障政府网站安全，也可供重点行业和其他企事业单位保证网站安全选择云计算服务提供参考