135页《信息安全技术云计算服务安全能力要求》国家标准解读.docxVIP

杭州2022年第19届亚运会官方合作伙伴

OfficialPrestigePartnerofthe19thAsianGamesHangzhou2022

GB/T31168-2023

《信息安全技术云计算服务安全能力要求》国家标准解读

400-6059-110

一、GB/T安恒信息DAS-security安全中田数字经济的安全基石31168-2023标准框架

一、GB/T

安恒信息

DAS-security安全中田

数字经济的安全基石

Thesecuritycomerstoneofthedigitaleconomy

云计算服务安全能力要求框架

一、范围二、规范性引用文件三、术语和定义四、缩略语

五、概述

六、系统开发与供应链安全

6.2系统生命周期6.1资源分配

6.2系统生命周期

6.4系统文档6.3采购过程

6.4系统文档

6.6外部服务6.5关键性分析

6.6外部服务

6.7开发商安全体系架构6.8开发过程、标

6.7开发商安全

体系架构

准和工具

6.9开发过程配置管理

6.9开发过程配

置管理

试和评估

6.11开发商提供的培6.13不被支持的

6.11开发商提

供的培

6.13不被支持的

系统组件

6.14供应链保护

七、系统与通信保护

7.4可信路径

7.4可信路径

7.8会话认证

7.8会话认证

7.14安全管理功能

的通信保护

8.5密码模块鉴别

八、访问控制

8.2标识符管理8.3鉴别凭证管理8.4鉴别凭证反馈

8.6账号管理

8.6账号管理

8.20可供公众访问

的内容

安恒信息|DAS-security安全

安恒信息|

DAS-security安全中田|

一、GB/T

31168-2023标准框架

Thesecuritycomerstoneofthedigitaleconomy

云计算服务安全能力要求框架(续)

九、数据保护十、配置管理十一、维护管理十二、应急响应

九、数据保护

13.2审计记录内容13.1可审计事件

13.2审计记录内容

13.1可审计事件

10.2基线配置

10.2基线配置

十五、安全组织与人员

15.4人员筛选

15.3岗位风险与职责

15.6人员调动

15.7第三方人员安全

附录

附录A(资料性)安全能力要求汇总

12.1事件处理计划12.2事件处理

12.1事件处理计划

12.2事件处理

十六、物理与环境安全

十四、风险评估与持续监控14.1风险评估14.2脆弱性扫描

14.3持续监控14.4信息系统监测

附录

附录B(资料性)本文件的实现情况描述

安恒信息|数字经济的安全基石DAS-security安全中田：lThesecuritycornerstoneofthedigitaleconomy二、GB/T.31168-2023与GB/T31168-2014

安恒信息|数字经济的安全基石

DAS-security安全中田：lThesecuritycornerstoneofthedigitaleconomy

本标准描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的安全技术能力。

本标准适用于对政府部门使用的云计算服务进行安全管理，也可供重点行业和其他企事业单位使用云计算服务时参考，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

安全要求分类(10类)

系统开发与供应链安全

维护

维护

访问控制

访问控制

配置管理

风险评估与持续监控

安全要求分级(2级)

本文件规定了云服务商提供云计算服务时应具备的安全能力。

本文件适用于对云计算服务能力的建设、监督、管理和评估。

安全要求分类(11类)

系统开发与

供应链安全维护管理

系统与通信保护

访问控制

配置管理

审计

风险评估与持续监控

风险评估与持续监控

安全要求分级(3级)

增强要求高级要求

增强要求

高级要求

安恒信息|数字经济的安全基石DAS-security安全中田：|Thesecuritycornerstoneofthedigitaleconomy

安恒信息|数字经济的安全基石

DAS-security安全中田：|Thesecuritycornerstoneofthe