国家标准《信息安全技术 云计算服务安全能力评估方法》编制说明

PAGE工作简况任务来源为支撑我国党政部门云计算服务安全管理工作，加快建立国家网络安全审查制度，全国信息安全标准化技术委员会于2014年立项《信息安全技术云计算服务安全能力评估方法》国家标准，2014年12月，中央网信办网络安全协调局下达《<云计算服务安全能力评估方法>国家标准制定》委托任务书，委托中国电子技术标准化研究院开展该标准的研制工作，并将本项目标识为重点标准。《信息安全技术云计算服务安全能力评估方法》（计划编号：20151587-T-469）由中国电子技术标准化研究院牵头，国家信息技术安全研究中心、中国信息安全测评中心、中国信息安全研究院有限公司、中国电子科技集团第30研究所、中国信息安全认证中心、上海信息安全测评认证中心、国家信息中心、浪潮（北京）电子信息有限公司、中电长城网际系统应用有限公司、中标软件有限公司、华为技术有限公司、西安未来国际有限公司、中金数据系统有限公司、北京软件产品质量检测检验中心、重庆邮电大学、深圳赛西信息技术有限公司、成都大学、北京工业大学、北京邮电大学、西安电子科技大学、卫士通信息产业股份有限公司、桂林电子科技大学等单位共同参与起草。主要工作过程1.2.1标准立项前工作概述2013年12月至2014年3月，《信息安全技术云计算服务安全能力要求》标准形成报批稿，为完善云计算安全标准体系，支撑党政部门云计算服务网络安全管理，牵头单位组成标准工作组，研究云计算服务安全能力评估方法，形成《云计算服务安全能力测试规范》初稿。2014年4月至2014年12月，为配合全国信安标委秘书处开展的党政部门云计算服务网络安全管理国家标准应用试点工作，中国电子技术标准化研究院牵头，参与标准试点的第三方机构共同在前期《云计算服务安全能力测评指南》的基础上修改形成《云计算服务安全审查测评规程》，并在标准试点中进行试用，指导第三方测评机构对云服务商的测评工作。1.2.2标准立项后工作情况1）标准立项2014年12月，本标准获全国信息安全标准化技术委员会国标立项。2）成立标准编制组，广泛调研2015年1月至2015年2月，标准编制组成立，广泛调研和研究国内外云计算安全相关评估标准以及相关安全评估标准，为本标准的编制奠定基础。期间，研究的云计算安全相关标准和安全评估相关标准包括：（1）美国联邦系统安全控制的建议（NIST800-53）；（2）美国联邦系统安全控制措施评估指南（NISTSP800-53A）；（3）NISTSP800-53A测试用例；（4）美国联邦风险及授权管理项目（FedRAMP）测试用例；（5）信息安全等级保护测评国家标准；（6）《信息技术安全技术信息安全管理实用规则》、《信息安全技术信息安全风险评估规范》、《信息技术安全技术信息技术安全评估准则》、《信息安全技术信息安全服务能力评估准则》等国家标准。3）标准编制组形成标准草案2015年3月至2015年5月，标准编制组3月在北京召开标准启动会，讨论了标准编制的思路，以及本次国家标准与全国信安标委秘书处组织的标准试点中试用的云计算服务安全审查测评规程的关系。5月，标准编制组形成标准草案，发标准编制组内部征求意见。期间，标准编制组部分起草单位参与中央网信办网络安全协调局和国家网络安全审查办公室组织的云计算服务安全能力评价方法等相关文件的编制。6月，标准编制组召开工作会议，处理编制组对草案的反馈意见，并接受全国信安标委秘书处中期检查，听取专家对该项目的意见。7月，标准编制组集中封闭3天，根据专家的意见修改了标准草案。7月30日，秘书处在北京召开了标准评审会，编制组根据与会专家的意见进一步完善了标准草案。4）标准在云服务网络安全审查中试用2015年8月至2015年9月，国家信息技术安全研究中心、中国信息安全测评中心、中国电子技术标准化研究院赛西实验室分别对成都曙光云计算中心、华为襄阳政务云云服务和阿里云电子政务云服务进行了云服务网络安全审查，在审查过程中对标准草案进行了试用，并提出了修改意见，标准编制组根据试用意见进行了修改完善，征求并处理了国家网络安全审查办公室对修改后标准草案的意见。5）2015年11月，召开专家评审会，会后形成征求意见稿2015年11月24日，全国信安标委秘书处在北京组织召开了专家评审会，与会专家针对标准的定位、标准中的测试项以及对服务安全能力的评价提出了意见，标准编制组按照与会专家意见进行了修改，形成征求意见稿。6）2016年6月，调整到大数据安全特别工作组，并组内征求意见2016年4月，全国信安标委大数据安全特别工作组成立，该标准调整到大数据安全特别工作组，并在组内征求意见。标准编制组根据反馈意见对征求意见稿进行了修改完善，并在第一次会议周进行了讨论。编制原则和主要内容编制原则一是充分吸收已有云安全相关标准。《评估方法》充分参考了国际、国内有关云计算安全以及安全评估的先进标准和技术规范。目前，《评估方法》已将美国FedrRAMP云安全测试用例、NIST800-53A、ISO/IEC27017、等级保护测评等相关标准的长处进行了吸收，充分考虑了相关的测试评估方法。二是重点关注安全评估方法，不涉及安全评价。《评估方法》是在已发布国标《信息安全技术云计算服务安全能力要求》基础上制定的，而《能力要求》标准是我国加强党政部门云计算服务网络安全管理的重要依据，在实施过程中需要《评估方法》进行配合。对云计算服务安全能力的评价涉及到多种因素，情况比较复杂，本标准只关注安全评估方法，对于云计算服务安全能力的水平如何不做评价。主要内容本标准规定了对以社会化方式为特定客户提供云计算服务的云服务商安全能力进行评估的方法。本标准适用于第三方评估机构对云服务安全能力进行评估，也可指导云服务商建设安全的云计算平台和提供安全的云计算服务。本标准主要根据《信息安全技术云计算服务安全能力要求》制定相关评估方法，为第三方测评机构开展云计算服务安全能力评估提供指导，标准规定第三方测评机构可采用访谈、检查、测试等多种方式，制定相应安全评估方案，实施安全评估，标准从系统开发和供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应和灾备、审计、风险评估和持续监控、安全组织与人员、物理与环境安全等方面对原标准的各个条款提出评估方法。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果编制组已请中国信息安全测评中心、国家信息技术安全研究中心、中国赛西实验室等第三方测评机构对《评估方法》进行了试用。第三方测评机构根据标准草案要求，在成都、襄阳、北京等地为政府部门提供云服务部署的多个云计算中心进行了标准的试用，按照要求开展了安全评估，标准试用效果良好。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，云计算安全标准及其背后的管理政策将会对产业造成重大影响，也将限制国外大型云计算服务提供商渗透到我国敏感部门和重要行业，这种情况下，我国提出了加强党政部门云计算服务网络安全管理是保障国家安全和社会公众利益的重要举措。开展对云服务商所提供的云服务安全能力的评估，是落实对云计算服务安全管理的措施之一。因此，编制组在标准编制过程中，专门分析了美国FedRAMP对云服务商的安全评估方法和NISTSP800-53A中的测试用例，参考我国已有相关信息安全标准，以及我国云计算服务安全管理的考虑，综合考虑制定了本标准。与有关的现行法律、法规和强制性国家标准的关系《评估方法》符合现有法律法规的要求。符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国务院关于大力促进信息化发展和切实保障信息安全的若干意见》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等国家政策、法规、标准的要求。现行发布两项云计算安全国家标准GB/T31167-2014《信息安全技术云计算服务安全指南》和GB/T31168-2014《信息安全技术云计算服务安全能力要求》。《评估方法》符合GB/T31167国家标准的相关要求，是基于GB/T31168制定的配套评估标准。重大分歧意见的处理经过和依据《评估方法》编制过程中未出现重大分歧。其他详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议《评估方法》作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）《评估方法》通过指导第三方机构对云服务商的云计算服务安全能力进行安全评估，为国家标准对云服务商提出具体的安全能力要求，为国家标准GB/T31168-2014《信息安全