政府部门云计算服务提供商安全基本要求研究报告.pdf

云计算服务安全国家标准编制组 云计算服务安全国家标准解读 陈兴蜀 教授 四川大学网络空间安全研究院常务副院长 chenxsh@ © 2016 Cloud 云计算服务安全国家标准编制组 主要内容 1 云计算服务安全审查 2 《云计算服务安全指南》 3 《云计算服务安全能力要求》 4 云计算服务发展的机遇 2 @2016 Cloud 云计算服务安全国家标准编制组 云计算服务网络安全审查 1）中央网信办会同有关部门建立云计算服务安全审查机制，对为党政 部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方 机构进行网络安全审查。 2）重点审查云计算服务的安全性、可控性。 3）党政部门采购云计算服务时，应逐步通过采购文件或合同等手段， 明确要求服务商应通过安全审查。 4）鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算 服务。 3 @2016 Cloud 云计算服务安全国家标准编制组 国发[2015]5号再促落实“云网络安全审查” 统筹协调：探索电子政务云计算发展新模式，政府部门要加大采购云计算服 务的力度，推动政务信息资源共享和业务协调。 保障安全：建立完善党政机关云计算服务安全管理制度，制定信息收集、存 储、转移、删除、跨境流动等管理规则。 4 @2016 Cloud 云计算服务安全国家标准编制组 云计算服务安全审查的策略 立足风险 • 结合政策要求和技术标准，基于云计算环境安全风险， 安全可控 审查党政部门云计算服务的安全性、可控性。 以审为主 • 分阶段审查：服务商提供证据；第三方机构收集分析 以测为辅 证据，采用访谈、测试等方式验证；专家评审。 持续监督 • 关注党政部门云计算服务采购和应用全生命周期的风 加强管理 险管理，引导产业持续提升安全能力。 5 @2016 Cloud 云计算服务安全国家标准编制组 云网络安全审查的工作思路—组织结构 • 成员：中央网信办、发改委、财政部、工信部等部门。 协调组