云计算保险风险评估指引-征求意见稿编制说明

云计算保险风险评估指引

（征求意见稿）

编制说明

《云计算保险风险评估指引》（征求意见稿）编制说明

一、工作简况

（一）任务来源

本标准由中国保险行业协会提出，于2019年10月获得了中国保险协会标准立项（立

项号为2019026-IAC）。

（二）协作单位

本标准由中国保险行业协会提出并归口。本标准的起草单位主要包括：中国信息通

信研究院，中国人民财产保险股份有限公司。

（三）主要工作过程

1、前期研究

1）2017年9月至2019年3月，起草组开展了六次保险行业云计算标准研讨会，起

草组成员收集相关文献资料、政策文件、标准和数据，在前期调研及资料分析的基础上，

依据GB/T1.1-2009《标准化工作导则第1部分:标准的结构和编写规则》等标准编制

要求，形成了《云计算保险风险评估指引》标准草案一稿。

2）2019年4月，中国保险行业协会在北京召开了保险行业云计算标准研讨会。期

间，起草组成员对云计算保险风险评估指引和标准规范在研讨会上进行了详细的研讨，

并提出修改意见。

3）2019年4月至9月，起草组对标准草案进行了修订，形成《云计算保险风险评

估指引》标准草案二稿。

2、标准计划申请

2019年，开展了标准修订项目申报工作，提交了立项申请书初稿。并于2019年10

月获批立项。

3、标准研制

2019年10月，中国保险行业协会在北京召开了预审会，起草组成员来自保险企业、

信息科技企业的数十位专家代表，对标准草稿的内容进行详细的讨论。形成了《云计算

保险风险评估指引》征求意见稿。为进一步明晰标准服务范围，建议将原《云计算风险

评估方法》在征求意见稿时，更名为《云计算保险风险评估指引》。

二、标准编制原则和确定标准主要内容

2

（一）制定原则

本标准为云计算保险风险评估指引。本标准以通用性、实践性、规范性为原则，在

编制过程中遵循：

1.通用性原则。本标准为推荐性标准，应在全国范围内，考虑不同公司的云计算风

险评估方法提炼出来形成标准，以适应全国保险行业的特点。

2.实践性原则。在切实做好本标准整体框架设计的基础上，以标准应用和指导服务

实际工作为目标。编写过程中贯彻国家关于积极采用国际标准的政策，密切结合我国国

情，从行业的实际水平出发，研究标准应规范的技术指标，做到技术先进合理、使用方

便、切实可行。

3.规范性原则。

标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》、GB/T

20000.2—2009《标准化工作指南第2部分：采用国际标准》的要求和规定进行编写，

保证标准形式和内容的规范性。

（二）制定论据

在本标准编制过程中，充分以现有国家法规、标准和监管相关规定为依据，并借鉴

行业内多家保险公司的云计算搭建和建设的实务操作经验。

本标准主要参照了下列标准：

GB/T22080-2008信息技术安全技术信息安全管理体系要求

GB/T22081-2008信息技术安全技术信息安全管理实用规则

GB/T31167-2014信息安全技术云计算服务安全指南

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T31496-2015信息技术安全技术信息安全管理体系实施指南

GB/T32400-2015信息技术云计算概览与词汇

GA/T1390.2-2017信息安全技术网络安全等级保护基本要求第2部分：云计算

安全扩展要求

JR/T0071-2012金融行业信息系统信息安全等级保护实施指引

JR/T0072-2012金融行业信息系统信息安全等级保护测评指南

JR/T0073-2012金融行业信息安全等级保护测评服务安全指引

JR/T0166-2018云计算技术金融应用规范技术架构

3

JR/T0167-2018云计算技术金融应用规范安全技术要求

JR/T0168-2018云计算技术金融应用规范容灾

YDB144–2014云计算协议参考框架

ISO/IECTR27015:2012信息技术安全技术金融服务信息安全管理指南

（三）主要技术内容

本标准主要对云计算保险风险评估方法进行规范。标准范围及主要技术内容如下：

本标准规定了云计算风险评估方法，针对云计算运行过程中面临出现的服务不可用、

数据丢失、数据泄露等风险后果提出管理方法。

本标准适用于保险公司在云服务商为云平台投保时，由保险公司或第三方评估机构

进行云服务商风险管理水平的评估，以作为投保的有效依据。

本标准的主要技术内容包括：

——范围

——规范性引用文件

——术语和定义

——概述

——风险评估

——(资料性附录)云计算风险管理能力评估指标及权重

——(资料性附录)风险评估结果

——参考文献

三、主要试验(或验证)的分析、综述报告，技术经济论证，预期效果

（一）主要试验的分析、综述报告

云服务市场处于高速的发展阶段，预计未来几年将会保持稳定增长。近年来，以政

企用户为主的云服务模式越来越多，国内公共云服务逐步从互联网向传统行业市场延伸。

传统行业用户更加关心云服务不可用和存储数据丢失带来的经济损失，不管是云服务不

能正常使用还是存储数据丢失，对企业级用户都将是重大事故。一方面，主流云服务商

占据很大一部分市场，一旦云服务出现宕机，受有很大数量的企业收到影响；另一方面，

随着越来越多的企业和政府将数据上云，宕机事故也能引发企业自身很大的灾难。因此，

云服务存在的风险赔偿问题引起了各个企业的广泛关注。

随着近些年云风险事故的频发，安全问题成为企业上云的主要顾虑。保险机制能够

4

为云服务商和云客户提供切实的经济保障，在事故后将损失有效转嫁。国家和政府在推

动企业上云的同时，也鼓励通过保险手段构建安全可控云计算产业体系。工信部印发的

《推动企业上云实施指南（2018-2020）》第24条指出，应“积极探索利用保险模式对

上云企业给予保障”。事后的云保险从用户角度评估云服务抵御服务不可用、数据丢失、

信息泄露等风险管控的能力。

云保险是适应云计算服务不断发展特别是向传统产业加速延伸而开展的一种新探

索，对于创建安全可信的云计算服务环境、培育云计算使用信心具有重要意义。支持产

业界各方开展云保险服务实践，逐步扩大保障范围、扩展服务类型、完善政策环境，形

成可复制可推广的云保险方案和政策经验。本标准服务于云保险，评估结果为确定云保

险保费的重要依据。

（二）预期效果

本标准规定了云计算风险管理框架，针对云计算运行过程中面临的服务不可用、数

据丢失、数据泄露等风险，提出了风险管理方法。云计算风险管理流程包括风险评估、

风险处置、风险接受、风险沟通以及风险监视和评审等内容。适用于云计算企业对云计

算涉及的系统、人员、管理制度进行风险管理，帮助云计算厂商控制云计算对外运营的

风险，帮助云服务客户选择风险可控的云计算厂商。

通过事前评估，建立合理的风险管理组织架构，可以有效得规避风险。通过对云计

算关键点包括基础设施、网络、计算资源、存储资源、应用、业务、数据、管理规范、

运维运营、风险整合划分等进行识别，对风险管控措施进行识别，通过风险识别结果可

估算出风险概率。

四、与国外同类标准的对比分析

本标准为首次自主制定，不涉及国外标准采标情况。

五、与国家现行法规、标准的关系

无。

六、重大分歧意见的处理经过和依据

无。

七、标准作为强制性或推荐性标准的建议

本标准建议作为推荐性标准发布实施。

八、贯彻标准的要求和措施建议

5

建议本标准作为推荐性标准发布实施。本标准建立了云计算保险风险评估方法的管

理规范，建议向保险行业积极推荐采用本标准。

同时，建议根据国家法规、标准和监管规定的变化情况，结合行业公司在标准实施

过程中反馈的意见建议，适时对本标准进行修订完善。

九、废止现行有关标准的建议

无。

十、其他应予说明的事项

无。

中国信息通信研究院

2019.11

6

水质65种元素的测定电感耦合等离子体质谱法HJ700-2014

水质铜、锌、铅、镉的测定原子吸收分光光度法度法GB/T7485-1987

12总砷水质汞、砷、硒、铋和锑的测定原子荧光法HJ694-2014

水质65种元素的测定电感耦合等离子体质谱法HJ700-2014

水质镍的测定丁二酮肟分光光度法GB/T11910-1989

13总镍

水质镍的测定火焰原子吸收分光光度法GB/T11912-1989

水质铜、锌、铅、镉的测定原子吸收分光光度法GB/T7475-1987

14总镉水质镉的测定双硫腙分光光度法GB/T7471-1987

水质65种元素的测定电感耦合等离子体质谱法HJ700-2014

水质总铬的测定GB/T7466-1987

15总铬

水质65种元素的测定电感耦合等离子体质谱法HJ700-2014

水质总汞的测定冷原子吸收分光光度法GB/T7468-1987

16总汞

水质总汞的测定高锰酸钾-过硫酸钾消解法双硫腙分光光度GB/T7469-1987

5.3大气污染物监测要求

5.3.1排气筒中大气污染物的监测采样按GB/T16157、HJ/T397或HJ/T75规定执行；大气污

染物无组织排放的监测按HJ/T55规定执行。

5.3.2对企业排放大气污染物浓度的测定采用表9所列的方法标准

表9大气污染物浓度测定方法标准

序号污染物项目方法标准名称标准编号

固定污染源排气中二氧化硫的测定碘量法HJ/T56-2000

固定污染源排气中二氧化硫的测定定电位电解法HJ/T57-2000

固定污染源废气二氧化硫的测定非分散红外吸收法HJ629-2011

1二氧化硫

环境空气二氧化硫的测定甲醛吸收-副玫瑰苯胺分光光度法HJ482-2009

环境空气二氧化硫的测定四氯汞盐吸收-副玫瑰苯胺分光光

HJ483-2009

度法

固定污染源排气中颗粒物测定与气态污染物采样方法GB/T16157-1996

2颗粒物

环境空气总悬浮颗粒物的测定重量法GB/T15432-1995

3硫酸雾固定污染源废气硫酸雾的测定离子色谱法（暂行）HJ544-2009

大气固定污染源氟化物的测定离子选择电极法HJ/T67-2001

4氟化物环境空气氟化物的测定滤膜采样氟离子选择电极法HJ480-2009

环境空气氟化物的测定石灰滤纸采样氟离子选择电极法HJ481-2009

固定污染源排气中氯化氢的测定硫氰酸汞分光光度法HJ/T27-1999

5氯化氢固定污染源废气氯化氢的测定硝酸银容量法（暂行）HJ548-2009

环境空气和废气氯化氢的测定离子色谱法（暂行）HJ549-2009

6二噁英类环境空气和废气二噁英类的测定同位素稀释高分辨气相色谱HJ77.2-2008

环境空气和废气砷的测定二乙基二硫代氨基甲酸银分光光度

HJ540-2009

7砷及其化合物法

空气和废气颗粒物中铅等金属元素的测定电感耦合等离子体HJ657-2013

8铅及其化合物环境空气铅的测定火焰原子吸收分光光度法GB/T15264-1994

固定污染源废气铅的测定火焰原子吸收分光光度法HJ538-2009

—19—

指标指标赋值

二级指标三级指标指标等级指标分值

①Egw≥10018.0

②50≤E＜100

5.地下水污染物超标总倍数gw13.0

（Egw）*

③10≤Egw＜508.0

④1≤Egw＜103.0

①高毒性：Tgw≥1000012.0

地块污染现状②较高毒性：1000≤Tgw＜100009.6

6.地下水污染物对人体健康

③中等毒性：100≤Tgw＜10007.2

的危害效应（Tgw）*

④较低毒性：10≤Tgw＜1004.8

⑤低毒性：Tgw＜102.4

①是

7.地下水污染物中是否含持3.0

久性有机污染物

②否0

①无防渗措施5.0

②有一定的防渗措施3.0

8.地下防渗措施

③有全面、完好的防渗措施1.0

④无地下工程0

①GD＜3米1.5

9.地下水埋深（GD）②3米≤GD＜10米0.9

地下水污染物

③GD≥10米

迁移途径0.3

①砂土及砾石1.5

10.包气带土壤渗透性②粉土0.9

③粘土0.3

①砾砂及以上土质3.0

11.饱和带土壤渗透性②粗砂、中砂及细砂1.8

③粉砂及以下土质0.6

—62—

HJ845—2017

附录C

（规范性附录）

数据共享

检测信息应能实现地市、省和国家三级联网和数据共享，数据共享项目不少于表C.1项目：

表C.1遥感检测数据共享信息表

序号代码名称类型描述

1JLBH记录编号字符（30）

2DWBH点位编号字符（12）

3YCXBH遥感线编号字符（2）

4JCDWRZH检测点位日志号字符（8）移动式适用

5JCRYXM检测人员姓名字符（50）移动式适用

6CDXH车道序号字符（6）

7JCRQ检测时间日期YYYYMMDD

8DDJD地点经度数字（10，5）

9DDWD地点纬度数字（10，5）

10CDPD车道坡度数字（3，2）

11PDJG判定结果字符（1）0—不通过1—通过

12HPHM号牌号码字符（15）符合GA/T543

13HPYS车牌颜色字符（5）0—蓝牌1—黄牌2—白牌3—黑牌

14HPZL号牌种类字符（5）符合GA/T543

15RLZL