本標(biāo)準(zhǔn)描述了云計算服務(wù)可能面臨的主要安全風(fēng)險,提出了政府部門采用云計算服務(wù)的安全管理基本要求,及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。本標(biāo)準(zhǔn)為政府部門采用云計算服務(wù),特別是采用社會化的云計算服務(wù)提供全生命周期的安全指導(dǎo),適用于政府部門采購和使用云計算服務(wù),也可供重點行業(yè)或企事業(yè)單位參考。
本標(biāo)準(zhǔn)主要從政府部門等客戶的視角認(rèn)識云計算服務(wù),了解云計算所帶來的優(yōu)勢及安全風(fēng)險,了解采用云計算服務(wù)的整個生命周期中的關(guān)鍵環(huán)節(jié)和要求,本標(biāo)準(zhǔn)本身不關(guān)注云計算技術(shù)自身細(xì)節(jié)。對云服務(wù)商的安全要求也不是本標(biāo)準(zhǔn)所關(guān)注的內(nèi)容,其內(nèi)容參考與本標(biāo)準(zhǔn)配套的另一個標(biāo)準(zhǔn)《信息安全技術(shù) 云服務(wù)商安全能力要求》。
本標(biāo)準(zhǔn)主要框架如下:
引言
1 范圍
2 規(guī)范性引用文件
3 術(shù)語
4 云計算概述
4.1云計算的主要特征
4.2服務(wù)模式
4.3部署模式
4.4云計算的優(yōu)勢
5 云計算的風(fēng)險管理
5.1概述
5.2 云計算安全風(fēng)險
5.3 云計算服務(wù)安全管理的主要角色及責(zé)任
5.3 云計算服務(wù)的信息安全管理基本要求
5.4 云計算服務(wù)生命周期
6 規(guī)劃準(zhǔn)備
6.1概述
6.2評估效益
6.3分類政府信息
6.4分類政府業(yè)務(wù)
6.5確定優(yōu)先級
6.6安全保護要求
6.7需求分析
6.8形成決策報告
7 選擇服務(wù)商與部署
7.1云服務(wù)商安全能力要求
7.2確定云服務(wù)商
7.3合同中的安全考慮
7.4部署
8 運行監(jiān)管
8.1 概述
8.2運行監(jiān)管的角色與責(zé)任
8.2客戶自身運行監(jiān)管
8.3對云服務(wù)商的運行監(jiān)管
9 退出服務(wù)
9.1退出要求
9.2確定數(shù)據(jù)移交范圍
9.3驗證數(shù)據(jù)的完整性
9.4安全刪除數(shù)據(jù)