目录

一、概述

二、云安全服务基本能力要求

三、信息安全服务（云计算安全类）资质要求

3.1 概述

3.2 资质要求内容

3.2.1 组织与管理要求

3.2.2 技术能力要求

四、云安全主要合规要求

4.1 安全管理机构部门的建立

4.2 安全管理规范计划的编制

4.3 安全测评认证的筹备

4.3.1 可信云评估认证

4.3.2 C-STAR云安全评估

4.3.3 网络安全等级保护测评认证

4.4 定期风险评估和应急演练

4.4.1 信息安全风险评估

4.4.2 网络安全应急演练

---

一、概述

云服务商应该在满足《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规要求的前提下，在其与客户之间进行合理的安全责任划分。同时，云服务商为了更好地为客户提供服务，还要通过相关的云安全服务资质认证。

二、云安全服务基本能力要求

国家标准《信息安全技术　云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的信息安全技术能力。适用于对政府部门使用的云计算服务进行安全管理，也可供重点行业和其他企事业单位使用云计算服务时参考，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同，云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类，分别是系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境保护。

《信息安全技术　云计算服务安全能力要求》文档地址：

国家标准《信息安全技术云计算服务安全能力要求》（GB/T31168-2014）简介_中央网络安全和信息化委员会办公室 (cac.gov.cn)

三、信息安全服务（云计算安全类）资质要求

3.1 概述

中国信息安全测评中心的信息安全服务（云计算安全类）资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。

信息安全服务（云计算安全类）资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质（云计算安全类）具体要求，在对申请组织的基本资格、技术实力、云计算安全服务能力以及云计算安全服务项目的组织管理水平等方面的评估结果基础上进行综合评定后，由中国信息安全测评中心给予相应的资质级别。

基本能力要求包括组织与管理要求及技术能力要求。

3.2 资质要求内容

3.2.1 组织与管理要求

• 必须拥有健全的组织和管理体系，为持续的云计算安全服务提供保障。
• 必须具有专业从事云计算安全服务的队伍和相应的质量保证。
• 与云计算安全服务相关的所有成员要签订保密合同，并遵守有关法律法规。

3.2.2 技术能力要求

• 了解信息系统技术的最新动向，有能力掌握信息系统的最新技术。
• 具有不断的技术更新能力。
• 具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。
• 能根据对用户信息系统风险的分析，向用户建议有效的安全保护策略及建立完善的安全管理制度。
• 具有对发生的突发性安全事件进行分析和解决的能力。
• 具有对市场上的信息系统产品进行功能分析，提出安全策略和安全解决方案及安全产品的系统集成能力。
• 具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力。
• 具有对集成的信息系统进行检测和验证的能力，有能力对信息系统进行有效的维护。
• 有跟踪、了解、掌握、应用国际/国家和行业标准的能力。

四、云安全主要合规要求

4.1 安全管理机构部门的建立

组织成立的信息安全领导小组是信息安全领域的最高决策机构，其下设办公室来负责信息安全领导小组的日常事务。

信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括根据国家和行业有关信息安全的政策、法律和法规，批准组织的信息安全总体策略规划、管理规范和技术标准；确定组织信息安全各有关部门工作职责，指导、监督信息安全工作；及时掌握和解决影响网络安全运行方面的有关问题，组织力量对突发事件进行应急处理，确保单位信息工作的安全。

同时要设置信息系统安全相关的关键岗位并加强管理，配备系统安全管理员、网络安全管理员、应用开发安全管理员、安全审计员、安全保密管理员，并各自独立遵循权限非斥原则。关键岗位人员必须严格遵守保密法规和有关信息安全管理规定。

4.2 安全管理规范计划的编制

信息安全管理作为组织完整管理体系中的一个重要环节，是指导和控制组织的关于信息安全风险的相互协调的活动。

安全管理计划的范畴包含信息安全活动过程中所涉及的各种安全管理问题，主要包括人员、组织、技术、服务等方面的安全管理要求和规定。

信息安全管理体系是一个自上而下的管理过程，GB/T 29246—2017(ISO/IEC 27000:2016)中描述了信息安全管理体系成功的主要因素，诸如：

• 信息安全策略、目标和与目标一致的活动。
• 与组织文化一致的，信息安全设计、实施、监视、保持和改进的方法与框架。
• 来自所有管理层级、特别是最高管理者的可见支持和承诺。
• 对应用信息安全风险管理（见ISO/IEC 27005）实现信息资产保护的理解。
• 有效的信息安全意识、培训和教育计划，以使所有员工和其他相关方知悉在信息安全策略、标准等中自身的信息安全义务，并激励其做出相应的行动。
• 有效的信息安全事件管理过程。
• 有效的业务连续性管理方法。8)评价信息安全管理性能的测量系统和反馈的改进建议。

云计算安全体系下的安全管理规范计划的编制，主要涉及如下一些文档类型：《安全组织架构和岗位职责说明》《人员安全管理流程规范》《应用安全开发管理规范》《应用及数据安全管理规范》《云租户系统上线检测流程规范》《云平台安全运维流程规范》《安全事件应急响应流程规范》《安全应急演练规划和报告》《网络安全等级保护测评自查报告》《可信云认证测评自查清单》等。

4.3 安全测评认证的筹备

信息安全服务（云计算安全类）资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。目前，国内的云计算服务安全认证主要有网络安全等级保护测评认证、信息安全服务资质（云计算安全类一级）认证、可信云评估认证等；国外的云计算服务安全认证主要有C-STAR、FedRAMP认证、ISO 27001、新版ISO 20000认证、SOC独立审计、CNAS云计算国家标准测试。

4.3.1 可信云评估认证

可信云评估是中国信息通信研究院下属的云计算服务和软件评估品牌，也是我国针对云计算服务和软件的专业评估体系。可信云评估的核心目标是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，促进我国云计算市场健康、创新发展，提升服务质量和诚信水平，逐步建立云计算产业的信任体系，被业界广泛接受和信任。

目前发布的重要的可信云标准及白皮书主要有《云服务用户数据保护能力参考框架》《云计算运维平台参考框架及技术要求（征求意见稿）》《可信云多云管理平台评估方法》《可信云服务认证评估方法》《开源治理能力评价方法》《可信云混合云解决方案评估方法》《可信云·云管理服务提供商能力要求》《可信物联网云平台能力评估方法》《智能云服务技术能力要求》等。

4.3.2 C-STAR云安全评估

C-STAR云安全评估是一个全新而独特的服务，旨在应对与云安全相关的特定问题，是ISO/IEC 27001的增强版本。它结合云控制矩阵、成熟度等级评价模型，以及相关法律法规和标准要求，对云计算服务进行全方位的安全评估。

C-STAR云安全评估的管控要求极为严格，评估过程采用国际先进的成熟度等级评价模型，涵盖应用和接口安全、审计保证与合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和脆弱性管理等16个控制域的全方位安全评估。

4.3.3 网络安全等级保护测评认证

网络安全等级保护测评认证是指测评机构依据国家网络安全等级保护管理制度规定，按照有关管理规范和技术标准对不涉及国家机密的信息系统安全保护状况进行等级测试评估的活动。

网络安全等级测评是测评机构依据《信息安全技术　网络安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实网络全等级保护制度的重要环节。在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。

4.4 定期风险评估和应急演练

《网络安全法》第二十五条规定：网络运营者应当制订网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《网络安全法》第三十八条规定：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

4.4.1 信息安全风险评估

随着信息化的不断深入，信息化在给组织带来便利的同时，也带来了新的安全问题，信息系统本身的不安全因素和人为的攻击破坏及安全管理制度的不完善或执行不到位等，都潜伏着很多安全隐患。因此，组织亟需建立完善的信息安全保障体系，防范信息安全风险。信息安全保障体系的建设是一项系统工程，风险评估在其中占有非常重要的地位，是信息安全保障体系建设的基础和前提。

信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件发生的概率及可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。

4.4.2 网络安全应急演练

应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等（以下统称演练组织单位）组织相关单位及人员，依据有关网络安全应急预案，开展应对网络安全事件的活动。

通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性；检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足并及时予以调整补充，做好应急准备工作；增强演练组织单位、参与单位和人员等对应急预案的熟悉程序，加强配合，提高其应急处置能力；进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离、阻隔、配套应急联动机制，防范网络安全风险扩展。

好了，本次内容就分享到这，欢迎大家关注《云计算安全》专栏，后续会继续输出相关内容文章。如果有帮助到大家，欢迎大家点赞+关注+收藏，有疑问也欢迎大家评论留言！