YD_T 3671-2020 公有云服务平台安全运维管理要求.docx

ICS 35.110 M11 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3671—2020 公有云服务平台安全运维管理要求 Pu blic cloud service platform security operation and maintenance management requirements 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3671—2020 目 次 前言 Ⅱ 引言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 2 4 公有云安全运维管理概述 2 4.1 公有云安全运维管理的安全威胁 2 4.2 公有云安全运维管理的范围 3 4.3 公有云安全运维管理的目标 3 5 组织与人员 4 6 策略与规程 4 7 资源管控与隔离 4 8 应急响应与风险评估 5 9 供应链安全 5 10 业务连续性保障 5 11 问题跟踪与证据收集 5 12 服务水平协议 6 Ⅱ YD/T 3671—2020 前 言 本标准依据GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：西安邮电大学、广州大学网络空间先进技术研究院、国家计算机网络应急技术处 理协调中心、陕西省信息化工程研究院、中国联合网络通信集团有限公司、国防科学技术大学计算机学 院、烽火科技集团有限公司。 本标准主要起草人：朱志祥、张勇、李树栋、舒敏、刘镝、田志宏、吴晨、江舟、李爱平、贾焰、 李汉兵、吕建东、王佩。 Ⅲ YD/T 3671—2020 引 言 随着云计算技术的发展，公有云服务已逐渐普及，产业形态日趋形成，各项商业化软件和开源软件 成功应用于云计算实践中。但公有云服务在发展的同时也受到一些质疑，安全运维问题是业界对云计算 的最大担忧，是决定云计算能否生存下去的关键问题。鉴于公有云服务运行安全的重要性、相关运维安 全管理的迫切需求和存在问题，迫切需要制定公有云服务平台安全运维管理要求，有效地进行安全管理 和风险控制，对规范和统一我国公有云服务的安全运行、服务和管理，提高云计算服务的安全运维服务 能力，推动我国云计算服务产业的持续、健康和快速发展十分必要。 YD/T 3671—2020 公有云服务平台安全运维管理要求 1 范围 本标准规定了公有云服务商开展安全运维的管理要求，主要涉及组织与人员、策略与规程、服务水 平协议、资源管控与隔离、应急响应与风险评估、供应链安全、业务连续性保障、问题跟踪与证据收集。 本标准适用于公有云服务商的公有云服务平台，也为重点行业和企事业单位使用公有云服务提供参 考依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/T 32400 信息安全技术云计算概览与词汇 3 术语、定义和缩略语 3.1 术语和定义 GB/T32400 界定的以及下列术语和定义适用于本文件。 3.1.1 公有云服务平台 public cloud service platform 支持基础设施由某一组织所拥有，面向公众或某一行业提供云计算服务所需的IT 运行环境资源， 和必要的应用开发接口或服务组件。 3.1.2 服务合约 service contract 服务商与用户之间签署的，明确了服务内容和服务目标的书面协议或合同。 3.1.3 服务可用性 service availability 在规定时刻或规定时间段内，服务组件或服务执行要求功能的能力。 2 YD/T 3671—2020 3.1.4 服务连续性 service continuity 管理一系列影响单个或多个服务的风险和事件，持续提供协定级别服务的能力。 3.1.5 关键绩效指标 key performance indicator 通过对组织内部流程的输入端、输出端的关键参数进行设置、取样、计算、分析，衡量流程绩效的 一种目标式量化管理指标。 3.2 缩略语 下列缩略语适用于本文件。 KPI 关键绩效指标 Key Performance Indicator 4 公有云安全运维管理概述 4.1 公有云安全运维管理的安全威胁 公有云安全运维管理中的风险是公有云服务商在运维云服务过程中的管理措施不完备所带来的风 险，