信息安全技术云计算服务运行监管框架

信息安全技术云计算服务运行监管框架

国家标准 GB/T37972一2019 信息安全技术 云计算服务运行监管框架 Informationseeuritytechnology一Operationsupervisionframeworkof eoudcomputingservice 2019-08-30发布 2020-03-01实施 国家市场监督管理总局 发布 国家标准化管理委员会国家标准
GB/T37972一2019 目 次 前言 引言 范围 规范性引用文件 术语和定义 云计算服务运行监管目的及框架 运行监管目的 4.2运行监管框架 4.3运行监管的角色及责任 安全控制措施监管 安全控制措施内容 5,1 5.2安全控制措施监管环节 变更管理监管 6.1变更管理内容 6.2变更管理监管环节 应急响应监管 7.1应急响应内容 7.2应急响应监管环节 云计算服务运行监管的实现方式 8.1概述 人工机制 8.2 自动机制 8.3 附录A(资料性附录)运行监管交付件模版 附录B资料性附录安全控制措施运行监管列表 10 参考文献 18
GB/37972一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位:四川大学、电子技术标准化研究院、北京安信天行技术有限公司、北京信息安 全测评中心,华为技术有限公司、阿里云计算有限公司腾讯云计算有限公司、移动通信有限公司研 究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中 国电子科技网络信息安全有限公司 本标准主要起草人:陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、 张磊沈锡庸、杨思磊,葛小宇,王惠莅、白杨,王启旭,胡影
GB/T37972一2019 引 言 随着云计算技术的蓬勃发展,政府部门及重点行业等对采用云计算服务有了大量需求,为确保云服 务客户安全地使用云计算服务,确保云服务商的安全能力符合国家相关标准要求,确保云计算服务各相 关方能够实时、有效地掌握云计算服务的运行质量和安全状态,制定云计算服务运行监管框架 本标准以GBT31167一2014《信息安全技术云计算服务安全指南》为依据,以GB/T311l68一2014 《信息安全技术云计算服务安全能力要求》为要求,规范了政府部门云服务客户在使用云计算服务的过 程中,云服务商、运行监管方的相关责任及监管内容,提出了运行监管框架、过程及方式 同时,本标准 为云服务商支撑云计算服务运行监管活动提供指导,为运行监管方开展运行监管提供指导
GB/37972一2019 信息安全技术 云计算服务运行监管框架 范围 本标准确定了云计算服务运行监管框架,规定了安全控制措施监管,变更管理监管和应急响应监管 的内容及监管活动,，给出运行监管实现方式的建议 本标准适用于对政府部门使用的云计算服务进行运行监管,也可供重点行业和其他企事业单位使 用云计算服务时参考 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T31167一2014信息安全技术云计算服务安全指南 GB/T31168一2014信息安全技术云计算服务安全能力要求 术语和定义 GB/T31167 -204界定的以及下则术语和定义适用于本文件 3.1 运行监管方operationsupervisionorgamization 独立于云计算服务相关方,且具有专业技术能力,开展运行监管的机构 云计算服务运行监管目的及框架 4.1运行监管目的 开展云计算服务运行监管的目的是保障 a)云计算服务持续满足国家相关法律法规、行政命令、政策和标准 b) 云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态; 云计算服务的安全风险可控 c d)云计算服务的安全能力持续满足要求 从而确保GB/T31167一2014中8.1提出的运行监管主要目标 4.2运行监管框架 云计算服务运行监管框架是基于国家标准GB/T31167一2014和GB/T31168一2014中的运行监 管要求而提出的 云计算服务运行监管框架如图1所示
GB/T37972一2019 监管结果反惯 分析审核 安全控制措施 运 云 监 行 监 服 自动机制接口获取 管 管 监 变更管理 评估验证 务 活 管 内 商 茶 客 方 应急响应 监管结果 人工机制(手动提交 运行监管框架 云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施,并为运行 监管方提供已实施相关管理和技术措施的支撑材料,形成交付件(对监管活动起到佐证作用的任何实 体,包括但不限于各种文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存),附录A 给出了运行监管交付件参考模版，附录B给出了安全控制措施运行监管列表 运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动,形成监管结果告知云计算服 务相关方,必要时应根据监管结果给出合理的意见和建议 4.3运行监管的角色及责任 4.3.1运行监管角色 运行监管框架包含两个主要角色 云服务商 通过国家网络安全审查并为政府部门提供服务的云服务商 a b运行监管方 云服务客户的管理部门例如;政府信息安全管理部门、云服务客户的主管部门 等)指定或委托的运行监管方 4.3.2云服务商的责任 云服务商应确保: 云计算平台中的安全控制措施持续有效 aa 云计算平台中的重大变更风险可控 b 云计算平台中的应急响应及时充分; c 向运行监管方按约定的内容,形式、频率、人工或自动机制等提交运行监管所需交付件,并确保 d 交付件真实可靠; 根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改 e 从而履行GB/T31167一2014中8.,2.3规定的云服务商在运行监管中的责任 4.3.3运行监管方的责任 运行监管方应 对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管; a b) 与云服务商协商运行监管接口,即交付件的内容、形式、频率和人工或自动机制等; c 确保云服务商提交的交付件安全,不得将交付件、涉及云服务商的知识产权和商业秘密的材料 提供给第三方 d 对云服务商提交的交付件进行分析及审核; 根据分析、审核结果对云计算服务的安全能力进行评估,必要时应以抽查、核查及测试等方式 对交付件中的内容进行验证;
GB/37972一2019 fD 根据评估验证结论,形成评估报告并告知云计算服务相关方,必要时应给出整改意见和建议 从而帮助云服务客户履行GB/T31167一2014中8.2.2规定的客户在运行监管活动中的责任 5 安全控制措施监管 5.1安全控制措施内容 安全控制措施涉及的主要内容包括但不限于: 系统开发与供应链安全; aa 系统与通信保护; b 访问控制 c 配置管理 ) 维护; e f 应急响应与灾备; 审计; g h) 风险评估与持续监控; 安全组织与人员 物理与环境安全 5.2安全控制措施监管环节 安全控制措施的监管环节包括 运行监管方制定安全控制监管策略与计划,明确监管目的与要求、监管方法与手段，细化安全 a 控制精施的监管内容、交付件类型.,格式及频率等 云服务商根据运行监管方制定的安全控制措施监管策略与计划,对云计算平台的安全状态实 b 施持续监控,提交有关安全控制措施有效性的相关交付件 运行监管方根据云服务商提交的交付件,对云计算平台的安全控制措施进行分析、审核,必要 时,应对安全控制措施的有效性进行评估,并将结果告知云计算服务相关方 变更管理监管 6.1变更管理内容 变更管理涉及的主要内容包括但不限于(见GB/T31l67一2014中8.4.2重大变更监管): 鉴别包括身份鉴别和数据源鉴别)和访问控制措施的变更 a b 数据存储实现方法的变更; 备份机制和流程的变更; d 与外部服务商网络连接的变更; 安全控制措施的变更; 已部署的商业软硬件产品的变更; g 云计算服务分包商的变更,例如Paas,SaaS服务商更换laaS服务商 h 云计算服务运行主体的变更; 云计算平台软件版本的变更; 云计算平台基础设施的变更; j kk 系统IT架构的变更
GB/T37972一2019 6.2变更管理监管环节 重大变更的监管环节如下 运行监管方制定变更管理监管策略与计划,明确监管目的与要求,方法与手段,交付件等 a b 云服务商在实施重大变更之前,应对变更项进行安全影响分析,必要时应对变更项进行测试、 验证,并根据与运行监管方约定的格式、内容、时间,提交有关重大变更安全性的相关交付件; 运行监管方根据云服务商提交的交付件,对云计算平台的变更项进行分析,审核,必要时,应对 变更项的安全性进行评估、验证,并将结果告知云计算服务相关方 应急响应监管 7.1应急响应内容 应急响应涉及的主要内容包括但不限于(见GB/T31167一2014中8.4.3安全事件监管): 非授权访问事件,如对云计算平台下的业务系统、数据或其他计算资源进行非授权逻辑或物理 a 访问等 b 发生安全攻击事件,如拒绝服务攻击; 恶意代码感染,如云计算平台被病毒、蠕虫、特洛伊木马等恶意代码感染; c d 云计算平台宕机 重大安全威胁发现; e 重大安全信息泄露 7.2应急响应监管环节 应急响应的监管环节如下 运行监管方制定应急响应监管策略与计划,明确监管目的与要求、监管方法与手段，细化应急 a 响应的监管内容、交付件类型、格式等; 云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性 b 有威胁的安全事件时,开展并记录应急响应活动,形成应急响应交付件并及时提交给运行监 管方 运行监管方根据云服务商提交的交付件,对安全事件及应急响应活动进行分析、评估,必要时 应对应急响应活动的充分性进行评估、验证,并将结果告知云计算服务相关方 云计算服务运行监管的实现方式 8.1概述 运行监管方应通过有效、准确,及时的方式获取有关云计算平台安全的信息及交付件,以便对云计 算服务安全能力开展分析、评估、审核、验证等监管活动 获取运行监管信息和交付件的实现方式包括: 手工机制和自动机制 8.2人工机制 云服务商根据与运行监管方约定的内容及频率,以确定的非在线方式,向运行监管方提交支撑运行 监管活动的相关交付件,交付件列表可参考附录B.
GB/37972一2019 8.3自动机制 8.3.1主要内容 自动机制监管的主要内容包括但不限于: 限制对各类介质的访问,并对介质访问情况进行审计; a b 对配置项的参数进行集中管理、应用和验证; 检测云计算服务平台中新增的非授权软件、硬件或固件组件 d 维护信息系统组件清单; 支持事件处理过程; 支持事件报告过程; g 提高事件响应支持资源的可用性; 对审查、分析和报告过程进行整合,以支持对可疑活动的调查和响应 h 比较不同时间的脆弱性扫描结果,以判断信息系统漏洞趋势 更新恶意代码防护机制; j k 管理账号; 监视和挖制远程访问会话.以检测网络攻击,确保远访问策略得以实现， m对缺陷修复后的组件进行检测 n 对攻击事件进行准实时分析; 温湿度控制 o 8.3.2要求 实现自动机制时应考虑; 遵守国家相关法律、行政命令、指令,政策、条例、标准和指导方针; a b 使用开放性规范、标准、技术及协议 从各种信息源中提取信息; c 提供与其他工具的可交互性; d 能够对安全控制、变更管理及应急响应过程中的信息进行整合并格式化输出
GB/T37972一2019 附 录 A 资料性附录) 运行监管交付件模版 安全控制措施报告表 A.1 云服务商应逐项对照附录A的各项要求的实现情况在表A.1中进行说明 表A.1安全控制措施报告表 安全控制措施报告表 云服务商 云服务商名称 云计算服务名称 安全能力 安全类 安全项 -般要求 安全属性 章节号 增强要求 内容描述 对内容中给出的赋值和选择项,需在表格中明确列出赋值和选择的具体参数) 安全措施 通用 措施名称 作用范围 口专用 混用 安全控制措施说明: 对采用的安全控制槽施的功能,效果及可用性等特性进行说明) 拟提供的证据(可另附页 能证明安全控制措施有效性的说明 A.2重大变更报告表 对于计划中的重大变更,云服务商应在计划实施之前,以与运行监管方约定的时间内,在表A.2中 进行说明
GB/37972一2019 表A.2重大变更报告表 重大变更报告表 云服务商 云服务商名称 云计算服务名称 -般 云服务客户 安全能力要求 口增强 门 软件即服务(SaaS) 口平台即服务(Paas) 服务模式 基础设施即服务(laas) 口其他请注明 公有云 口私有云 部署模式 口社区云 口混合云 口其他(请注明 变更计划开始日期 变更计划完成日期 联系人姓名 联系人职务 联系人电子邮件 联系人电话 变更类型 云服务商变动云服务商名称,注册地、企业性质、管口云计算服务分包商的变更,例如PasS aS服务商更换 Saa 理层 laaS服务商 物理环境变化(机房位置 口鉴别包括身份鉴别和数据源鉴别)和访问控制措施的 网络环境变化(网络架构,与外部信息系统的连接、与 变更 外部服务商的连接 口数据存储的实现方法变更 云平台关键软件组成变更(版本、代码、组件、供应商 备份机制和流程变更 口 云平台关键硬件组成变更硬件组成、IP地址、供应口安全措施的撤除 商 其他 口 供应链关键服务商变更 变更原因说明 变更情况说明 变更影响分析可另附页): A.3重大安全事件报告表 云服务商应在发现重大安全事件的第一时间,启动应急响应程序并告知运行监管方,事件响应完成 后,依据时间响应处理过程的情况.在表A.3中进行说明
GB/T37972一2019 表A.3重大安全事件报告表 重大安全事件报告表 云服务商名称 年 日 报告时间 时 发生了什么事件 发生事件的时间 发现事件的情况 发现人 发现人所属部门 事件发生过程和原因等情况 重大安全事件的详细描 受影响的用户,业务及其损失 已确定的风险 述如以前出现过此类情 况,也应加以说明 是香向云服务客户,国家和地方应急响应组织及有关信息安全主管部门等报告 其他 有害程序事件 口网络攻击事件 口信息破坏事件 安全事件的类型 信息内容安全事件 口 设备设施故障 灾害性事件 口其他信息安全事件 特别重大安全事件 重大安全事件 口较大安全事件 口 安全事件的级别 -般安全事件 受影响的资产(提供受事 件影响或与事件影响有例如;信息/数据,硬件,软件,网络设备,通信设施,文档等 关的资产的描述 涉及信息系统名称及主 要用途 口 违背保密性(即泄露》 违背完整性即篡改 事件对业务的负面影响 违背可用性(即不可用性》 违背抗抵赖性 遭受破坏 攻击者的描述(实际的或口犯罪/经济效益 消遣/黑客攻击 口政治/恐怖主义 觉察的动机 口报复 口其他 计划采取的解决事件 行动 口 符合 符合现有事件处理计划 口 不符合 原因 是否修订了事件处理口是 计划 否 原因 是否修订了应急响应 是 计划 否 原因
GB/37972一2019 表A.3(续 重大安全事件报告表 口事件处置开始时间和结束时间 口事件处置人员、所属部门和联系方式 事件处理过程描述 口其他 事件处理完成后对安全 产生影响分析 提交的证据及编号 签名 日期
GB/T37972一2019 录 附 B 资料性附录) 安全控制措施运行监管列表 安全控制措施运行监管情况见表B.1 表B.1安全控制措施运行监管表 GBT31168 安全类 安全项 属性 内容 2014 般 在工作计划和预算文件中,将信息安全作为单列项予以说明 资源分配 5.2 要求 云服务商应根据相关法律、法规政策和标准的要求,以及可能的客户需 求,并在风险评估的基础上,将以下内容列人信息系统采购合同 安全功能要求; b 安全强度要求; e 安全保障要求 -般 5.4 采购过程 安全相关文档要求; 要求 保密要求; f 开发环境和预期运行环境描述; 验收准则 g 强制配置要求,如功能、端口、协议和服务 按照[赋值:云服务商定义的频率]审查开发过程、标准、工具以及工 具选项和配置,判定有关过程,标准、工具以及工具选项和配置是否 满足[赋值:云服务商定义的安全需求] 要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质 量度量标准,并以[选择:[赋值:云服务商定义的频率];[赋值:云服 系统开发 开发过 增强 务商定义的项目审查里程碑];交付时]为节点,检查质量度量标准 5.10 与供应链 程、标准 要求 的落实情况 安全 和工具 要求信息系统、组件或服务的开发商即使在交付信息系统、组件或服 务后,也应跟踪信息系统、组件或服务的漏洞情况,在发布漏洞补丁 前便应通知云服务商,且应将漏洞补丁交由云服务商市查,验证并允 许云服务商自行安装 制定并实施安全评估计划 a 般 以[赋值;云服务商定义的深度和覆盖度]执行[选择;单元;集成;系 b 开发商 要求 统;回归]测试或评估 5.12 安全测试 和评估 增强 要求信息系统、组件或服务的开发商按照[赋值云服务商定义的约 要求 束条件],以[赋值;云服务商定义的广度和深度]执行渗透性测试 b 向[选择:正品厂商;[赋值:云服务商定义的外部报告机构];[赋值: 组件 增强 5.15 云服务商定义的人员和角色];其他有关方面]报告质品组件 真实性 要求 按照[赋值;云服务商定义的频率]检查信息系统中是否有质品组件 供应链 -般b确保[赋值:云服务商定义的重要设备]通过[赋值;政府和行业有关 5.17 部门已设立的信息安全测评制度]的安全检测 保护 要求 10
GB/37972一2019 表B.1续 GB/'T31l68 安全项 安全类 属性 内容 2014 在连接外部系统的边界和内部关键边界上,对通信进行监控;在客 a 户之外的外部人员访问系统的关键逻辑边界和客户访问系统的关 键逻辑边界上,对通信进行监控 -般b)将允许外部公开直接访问的组件,划分在一个与内部网络逻辑隔离 要求 的子网络上 并确保允许外部人员访问的组件与允许客户访问的 组件在逻辑层面实现严格的网络隔离 确保与外部网络或信息系统的连接只能通过严格管理的接口进行， 根据云服务商的安全架构,该接口上应部署有边界保护设备 为云计算服务搭建物理独立的计算平台、存储平台、内部网络环境 a 及相关维护、安防、电源等设施,并经由受控边界与外部网络相连 边界保护 6.2 构建物理上独立的管理网络,连接管理工具和被管设备或资源,以 对云计算平台进行管理 采取以下措施 对每一个外部的电信服务接口进行管理 系统与 增强 2 为每一个接口制定通信流策略 通信保护 要求 3 采取有关措施对所传输的信息流进行必要的保密性和完整性 保护 当根据业务需要,出现通信流策略的例外情况时,将业务需求 和通信持续时间记录到通信流策略的例外条款中 按照[赋值:云服务商定义的频率],对网络通信流策略中的例 不再需要的例外条款 外条款进行审查,在通信流策略中删除1 配置恶意代码防护机制,以 按照[赋值;云服务商定义的频率]定期扫描信息系统,以及在 [选择;终端;网络出人口]下载、打开、执行外部文件时对其进 恶意代码 行实时扫描 -般 6.11 防护 要求 2)当检测到恶意代码后,实施[选择:阻断或隔离恶意代码;向管 理员报警;[赋值;云服务商定义的活动]] 及时掌握系统的患意代码误报率,并分析误报对信息系统可用性的 潜在影响 通过以下步骤管理鉴别凭证 a 4)针对鉴别凭证的初始分发、丢失处置以及收回,建立和实施管 理规程 明确鉴别凭证的最小和最大生存时间限制以及再用条件 6 鉴别凭证 -般 通过以下步骤管理鉴别凭证 a 访间控制 7.5 管理 要求 对[赋值;云服务商定义的鉴别凭证],强制要求在[赋值;云服 务商定义的时间段]之后更新鉴别凭证 b 对于基于口令的鉴别" 强制执行最小和最大生存时间限制,以满足[赋值:;云服务商定 义的最小生存时间和最大生存时间] 1
GB/T37972一2019 表B.1续 GB/T31l68 安全类 安全项属性 内容 2014 般 )按照[赋值;云服务商定义的频率],检查账号是否符合账号管理的要求 要求 在[C赋值:云服务商定义的时间段]后自动选项别除;禁用]临时和 账号管理 7.8 增强 应急账号 要求 在[赋值:云服务商定义的时间段]后自动关闭非活跃账号 访问控制 般 无线访问 云服务商应禁用无线网络直接访问云计算平台 7.20 要求 可供公共 -般 按照[赋值:云服务商定义的频率]审查公开发布的信息中是否含有 访间的 7.23 要求 非公开信息，一经发现,立即别除 内容 制定并实施云计算平台的配置管理计划 a b 在配置管理计划中,规定配置管理相关人员的角色和职责,并详细 配置管理增强 规定配置管理的流程 8.2 计划 要求 在系统生命周期内,建立配置项标识和管理流程 小 定义信息 系统的配置项并将其纳人配置管理计划 保护配置管理计划,以防非授权的泄露和变更 e d 审查所提交的信息系统受控配置的变更事项,根据安全影响分析结 果进行批准或否决,并记录变更决定 般 变更控制 保留信息系统中受控配置的变更记录 8.4 要求 按照[赋值;云服务商定义的频率]对与系统受控配置的变更有关的 活动进行审查 a 按照[赋值;云服务商定义的频率],对信息系统进行审查,以标识不 必要或不安全的功能、端口、协议或服务 关闭[赋值:云服务商定义的不必要或不安全的功能、端口、协议和 服务] 配置管理最小功能增强 信息系统应按照[选择;[赋值:云服务商定义的软件使用与限制策 8.6 c 原则 要求 略];对软件使用的授权规则],禁止运行相关程序 按照白名单策略,确定[赋值:云服务商定义的在云计算平台上允许 运行的软件],禁止非授权软件在云计算平台上运行,并按照[赋值 云服务商定义的频率],审查和更新授权软件列表 a)制定和维护信息系统组件清单,该清单应满足下列要求 能准确反映当前信息系统的情况 2)与信息系统边界一致 -般 3 达到信息安全管理所必要的颗粒度 要求 包含[赋值;云服务商定义的为实现有效的资产追责所必要的 4 信息系统 8.7 信息] 组件清单 b 按照[赋值;云服务商定义的频率],审查并更新信息系统组件清单 增强 按照[赋值;云服务商定义的频率],使用自动机制检测云计算服务 a 要求 平台中新增的非授权软件,硬件或固件组件 12
GB/37972一2019 表B.1续 GB/'T31l68 安全项 安全类 属性 内容 2014 -般b 对所有远程维护和诊断活动进行审计,按照[赋值:云服务商定义的 远程维护 9.4 要求 频率]对所有远程维护和诊断会话的记录进行审查 -般 建立对维护人员的授权流程,对已获授权的维护组织或人员建立 维护人员 9.5 列表 要求 一般 标识报告和修复云计算平台的缺陷 a 要求 在与安全相关的软件和固件升级包发布后,及时安装升级包 缺陷修复 9.7 增云服务商应使用自动检测机制,按照[赋值;云服务商定义的频率对缺 维护 要求陷修复后的组件进行检测 安全功 -般 验证[赋值;云服务商定义的安全功能]是否正常运行 9.8 能验证 要求 软件、固 增班 按照[赋值;云服务商定义的频率]对云计算平台进行完整性扫描 9.9 件,信息 要求 并重新评估软件、固件和信息的完整性 完整性 制定信息系统的事件处理计划,该计划应: a 1 说明启动事件处理计划的条件和方法 2 说明事件处理能力的组织结构 37 定义需要报告的安全事件 4 事件处理 持,以维护和增强事件处理能力 5 -般 定义必要的资源和管理支 10.2 6 计划 要求 由[赋值:云服务商定义的人员或角色]审查和批准 向[赋值云服务商定义的人员,角色或部门],发布事件处理计划 b 按照[赋值:云服务商定义的频率],审查事件响应计划 c d 如系统发生变更或事件响应计划在实施、执行或测试中遇到问题,及时 修改事件处理计划并通报[赋值:云服务商定义的人员、角色或部门] 防止事件处理计划非授权泄露和更改 -般 将当前事件处理活动的经验,纳人事件处理、培训及演练计划,并实 事件处理 10.3 要求 施相应的变更 应急响应 a)根据应急响应计划,监控和报告安全事件 与灾备 b 当发现可疑的安全事件时,在[赋值:云服务商定义的时间段]内,向 -般 事件报告 本组织的事件处理部门报告 10.4 要求 建立事件报告渠道,当发生影响较大的安全事件时,向国家和地方 e 应急响应组织及有关信息安全主管部门报告 按照[赋值:云服务商定义的频率]更新应急响应计划 应急响应 般d 如系统发生变更或应急响应计划在实能、执行或测试中遇到问题 0.8 计划 要求 及时修改应急响应计划并向[赋值:云服务商定义的人员、角色或部 门]及客户进行通报 -般 向[赋值;云服务商定义的人员或角色]提供应急响应培训 a 应急培训 10.9 要求b当信息系统变更时,或按照[赋值云服务商定义的频率重新开展培训 至少每年制定或修订应急演练计划,并与客户充分协商,听取客户意见. a -般b)按照[赋值:云服务商定义的频率],执行应急演练计划,并且至少在 应急演练 10.10 要求 演练开始前[赋值:云服务商与客户确定的时间]之前通知客户和相 关部门 13
GB/T37972一2019 表B.1续 GB/T31l68 安全类 安全项属性 内容 2014 具备系统级备份能力,按照[赋值:云服务商定义的频率],对信息系 a 应急响应信息系统 统中的系统级信息进行备份,如系统状态、操作系统及应用软件 -般 0.1m 与灾备 备份 要求 具有验证信息系统备份连续有效的方法,并按照[赋值;云服务商定 义的频率]进行验证 般 制定信息系统内需连续审计的事件清单,并确定各事件的审计频 可审计 要求 率,该清单为上述可审计事件清单的子集 l1.2 增强云服务商应按照[赋值;云服务商定义的频率]对可审计清单进行审查和 事件 要求更新 审计 审计的审 a)按照[赋值;云服务商定义的频率]对审计记录进行审查和分析,以 般 1.6 查,分析和 发现[赋值:云服务商定义的不当或异常话动],并向[赋值:云服务 要求 报告 商定义的人员或角色]报告 策略与 般 b)按照[赋值:云服务商定义的频率]或当需要时,审查和更新综合风 12.l 规程 险管理策略、风险评估策略、持续性的监控策略及相关规程 要求 按照[赋值:云服务商定义的频率]定期开展风险评估,或者在信息 系统或运行环境发生重大变更(包括发现新的威胁和漏洞)时,或者 在出现其他可能影响系统安全状态的条件时,重新进行风险评估 般 12.2 风险评估 将评估结果记录在风险评估报告中,并将风险评估结果发布至[赋 要求 值:云服务商定义的人员或角色] 根据风险评估报告,有针对性地对云计算平台信息系统进行安全整 改,将风险降低到[赋值:云服务商定义的可接受的水平 使用脆弱性扫描工具和技,按照赋值:云服务商定义的频率]对 云计算平台信息系统及其上的应用程序进行脆弱性扫描,并标识和 般 报告可能影 响该系统或应用的新冒洞 要求 根据风险评估 i或脆羁性扫描结果,在[赋值;云服务商定义的响应时 b 间段内修复漏洞 风险评估 a 确保所使用的脆弱性扫描工具具有迅速更新漏洞库的能力 脆弱性 b 按[选择;[赋值:云服务商定义的频率];启动新的扫描前;新的漏洞 12.3 与持续 扫描 信息发布后]更新信息系统漏洞库 监控 增强 在脆弱性扫描活动中,使用特权账号对赋值:云服务商定义的信息 要求 系统组件进行[赋值:云服务商定义的脆弱性扫描行动],以实现更 全面扫描 确保所使用的脆弱性扫描工具能够展现扫描所覆盖的广度和深度 如已扫描的信息系统组件和已核查的漏洞 制定持续性的监控策略,并实施持续性监控,内容包括 1 确定待监控的度量指标 21 确定监控频率 根据持续性监控策略,对已定义的度量指标进行持续的安全状态 -般 监控 要求 持续监控 对评估和监控产生的安全相关信息进行关联和分析 12.4 对安全相关信息分析结果进行响应 e 按照[赋值;云服务商定义的频率]向[赋值;云服务商定义的人员或 角色]报告信息系统安全状态 增强 云服务商应每年安排实施未事先声明的渗透性测试以及深度检测,以验 要求证系统的安全状态 14
GB/37972一2019 表B.1续 GB/'T31l68 安全项 安全类 属性 内容 2014 能够针对[赋值;云服务商定义的监测目标],发现攻击行为 能够检测出非授权的本地,网络和远程连接 能够通过[赋值;云服务商定义的技术和方法],发现对信息系统的 非授权使用 能够对人侵监测工具收集的信息进行保护,防止非授权访问、修改 般 或删除 要求 当威胁环境发生变化、信息系统风险增加时,提升信息系统监测 级别 确保信息系统监控活动符合关于隐私保护的相关政策法规 按照需要或[赋值:云服务商定义的频率],向[赋值:云服务商定义 ]提供[赋值1云服务商宠义的信息系统监控信息 的人员或角色 使用自动工具对攻击事件进行准实时分析， 信息系统应按照[赋值云服务商定义的频率]监测进出的通信,以 发现异常或非授权的行为 信息系统 当下述迹象发生时， 12.5 .信息系统应向[赋值:云服务商定义的人员或角 监测 风险评估 受保护的信息系统文件或目录在没有得到正常的变更或配置 与持续 管理渠道通知的情况下被修改 监控 2 当发生异常资源消耗时 增强 3 审计功能被禁止或修改,导致审计可见性降低 要求 审计或日志记录在无法解释的情况下被删除或修改 4 5 预期之外的用户发起了资源或服务请求 信息系统报告了管理员或关键服务账号的登录失败或口令变 更情况 进程或服务的运行方式与系统的一般情况不符 87 在生产系统上保存或安装与业务无关的程序、工具、脚本 防止非授权用户锐 绕过人侵检测和人侵防御机制 对信息系统运行状态(包括CPU、内存、网络)进行监视,并能够对资 源的非法越界使用发出警报 在系统的出人口和网络中的工作站、服务器或移动计算设备上部署 .以检测并应对电子邮件,电子邮件附件 垃圾信息监测与防护机制， 垃圾信息 一般 12.6 监测 要求 b 在出现新的发布包时,及时更新垃圾信息监测与防护机制 a)建立管理框架来启动和控制组织内信息安全的实现 设立[赋值;云服务商定义的人员或角色]作为信息安全的第 负责人,由本组织最高管理层人员担任 设立[赋值云服务商定义的部门]作为信息安全的责任部门 安全组织 -般 并通过[赋值;云服务商定义的机制]与本组织其他业务部门 安全组织 13.2 与人员 要求 协调 建立[赋值;云服务商定义的机制],以保持与[赋值;云服务商定义 的外部组织]的适当联系 实施内部威胁防范程序,包括跨部门的内部威胁事件处理团队 15
GB/T37972一2019 表B.1续 GB/T31l68 安全类 安全项属性 内容 2014 制定信息安全规章制度,并传达至内外部相关人员 a 安全规章 在信息安全策略或计划发生变更时,或者按照[赋值:云服务商定义 般b 13.4 制度 要求 的频率],评审和更新信息安全规章制度,以确保其持续的适用性和 有效性 a)确保授权访问信息系统的人员已经经过筛选,人员背景信息和筛选 -般 结果应可供客户查阅 人员筛选 13.6 按照[赋值:云服务商定义的再筛选条件和频率],审查访问人员的 l 要求 再筛选结果 制定云计算平台的访间协议 a b)按照[赋值:云服务商定义的频率],评审和更新该访问协议 -般 确保云计算平台的访问人员 访问协议 13.9 安全组织 在被授予访问权之前.签署合适的访问协议 1 要求 与人员 21 根据工作需要,或者按照[赋值;云服务商定义的频率],重新签 署访问协议 在以下情况下为信息系统用户(包括管理层人员和合同商)提供基 础的安全意识培训: 1)作为新用户初始培训的一部分 D 在因信息系统变更而需要时 3 按照[赋值:云服务商定义的频率] -般 13.12 安全培训 b在以下情况下为被分配了安全角色和职责的人员提供基于角色的 要求 安全技能培训 1 在授权访问信息系统或者执行所分配的职责之前 D 在因信息系统变更而需要时 3 按照[赋值:云服务商定义的频率] 按照[赋值;云服务商定 义的时间段],保存人员的培训记录 n 制定和维护具有机房访问权限的人员名单 物理环境 般 14.4 访问授权要求 按照[赋值;云服务商定义的频率]对授权人员名单和凭证进行审查 a 对所有机房的[赋值;云服务商定义的机房出人点]实施物理访问授 权,具体包括;在准许进人机房前验证其访问授权.,使用[赋值;云服务 商定义的物理访问控制系统或设备]或警卫实施机房出人控制等 物理环境 b 制定和维护[赋值;云服务商定义的出人点]的物理访问审计日志 -般 14.5 f 访问控制要求 按照[赋值:云服务商定义的频率]对[赋值:云服务商定义的物理访 物理与 问设备]进行盘点 环境安全 按照[赋值:云服务商定义的频率]或在钥匙丢失、访问凭证受损以 及相关人员发生变动的情况下,更换钥匙和访问凭证 般 物理访问 b)按照[赋值:云服务商定义的频率],或当[赋值:云服务商定义的事 14.8 监控 要求 件发生或有迹象发生]时,对物理访问日志进行审查 制定和维护云计算平台机房的访客访问记录,并保留至[赋值;云服 a 访客访问 般 务商定义的时间段] 14.9 记录 要求 按照[赋值;云服务商定义的频率]对访问记录进行审查 16
GB/37972一2019 表B.1续 GB/'T31l68 安全项 安全类 属性 内容 2014 维护云计算平台所在机房的温湿度,使其符合GB50174一2008的 a 般 物理与 温湿度 相关规定 14.13 环境安全控制能力要求 实时监控温湿度水平 17
GB/T37972一2019 参 考文献 GB/T243632009 信息安全技术信息安全应急响应计划规范 [ [2]GB/T32400一2015信息技术云计算概览与词汇 [3幻 GB50174一2008电子信息系统机房设计规范 [打 FedRAMPContinuousMonit toringStrategy&.Guide.Version2.0.June6，2014 [5]FedRAMPlneidentCommuniceatonsProcedure.Version1.0，April8,2013 [6们]NIsTspecinlPublieation800-137，IntormationSseeuriyContinwusMoniorng(IscM)for FederalInformmationSystemsandOrganizations.September201l 18

GB/T37972-2019信息安全技术云计算服务运行监管框架解读

随着云计算技术的快速发展，越来越多的企业开始将自己的业务迁移到云端，并通过云计算服务来提高自身的效率和竞争力。然而，在享受云计算服务便利的同时，我们也需要注意到云计算服务带来的信息安全风险。因此，为了保证云计算服务在信息安全方面的稳定运行，我国于2019年发布了《信息安全技术 云计算服务运行监管框架》（以下简称“GB/T37972-2019”）。

GB/T37972-2019规定了云计算服务在设计、实施和运营过程中应遵循的标准和要求，旨在确保云计算服务提供商和用户在使用云计算服务时能够共同维护信息安全。该框架对云计算服务的安全威胁、安全风险评估、安全防护措施、安全事件处置等方面进行了详细的规定。

根据GB/T37972-2019，云计算服务提供商需要对其所提供的云计算服务进行全面的风险评估，并采取相应的安全保障措施。同时，云计算服务提供商还需要将信息安全管理纳入其日常运营管理体系之中，确保信息安全得到充分重视和保障。

而对于云计算服务用户来说，也需要注意自身在使用云计算服务时的安全问题。用户需要选择合适的云计算服务提供商，并在使用云计算服务时遵循相应的安全规范和要求，如加强用户身份验证、做好数据备份等。

除此之外，GB/T37972-2019还对云计算服务的监管机制进行了明确规定。相关部门应当通过建立监督检查、定期评估等方式，对云计算服务提供商的信息安全管理水平进行监督和认证，在发现违法违规行为时及时予以处理。

总之，GB/T37972-2019为保障云计算服务的稳定运行提供了重要的参考标准和指导意见。无论是云计算服务提供商还是用户，在使用云计算服务时都应当遵循相关规范和要求，共同维护信息安全。

信息安全技术云计算服务运行监管框架的相关资料

和信息安全技术云计算服务运行监管框架类似的标准