犐犆犛３５．０４０ 犔８０ 中华人民共和国国家标准 犌犅／犜３７９７２—２０１９ 信息安全技术 云计算服务运行监管框架 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犗狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀犳狉犪犿犲狑狅狉犽狅犳 犮犾狅狌犱犮狅犿狆狌狋犻狀犵狊犲狉狏犻犮犲 ２０１９０８３０发布２０２００３０１实施 国家市场监督管理总局 中国国家标准化管理委员会发布 目次 前言………………………………………………………………………………………………………… Ⅰ 引言………………………………………………………………………………………………………… Ⅱ １　范围……………………………………………………………………………………………………… １ ２　规范性引用文件………………………………………………………………………………………… １ ３　术语和定义……………………………………………………………………………………………… １ ４　云计算服务运行监管目的及框架……………………………………………………………………… １ 　４．１　运行监管目的……………………………………………………………………………………… １ 　４．２　运行监管框架……………………………………………………………………………………… １ 　４．３　运行监管的角色及责任…………………………………………………………………………… ２ ５　安全控制措施监管……………………………………………………………………………………… ３ 　５．１　安全控制措施内容………………………………………………………………………………… ３ 　５．２　安全控制措施监管环节…………………………………………………………………………… ３ ６　变更管理监管…………………………………………………………………………………………… ３ 　６．１　变更管理内容……………………………………………………………………………………… ３ 　６．２　变更管理监管环节………………………………………………………………………………… ４ ７　应急响应监管…………………………………………………………………………………………… ４ 　７．１　应急响应内容……………………………………………………………………………………… ４ 　７．２　应急响应监管环节………………………………………………………………………………… ４ ８　云计算服务运行监管的实现方式……………………………………………………………………… ４ 　８．１　概述………………………………………………………………………………………………… ４ 　８．２　人工机制…………………………………………………………………………………………… ４ 　８．３　自动机制…………………………………………………………………………………………… ５ 附录Ａ （资料性附录）　运行监管交付件模版…………………………………………………………… ６ 附录Ｂ （资料性附录）　安全控制措施运行监管列表…………………………………………………… １０ 参考文献…………………………………………………………………………………………………… １８ 犌犅／犜３７９７２—２０１９ 前　　言 　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。 本标准起草单位：四川大学、中国电子技术标准化研究院、北京安信天行技术有限公司、北京信息安 全测评中心、华为技术有限公司、阿里云计算有限公司、腾讯云计算有限公司、中国移动通信有限公司研 究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中 国电子科技网络信息安全有限公司。 本标准主要起草人：陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、 张磊、沈锡庸、杨思磊、葛小宇、王惠莅、白杨、王启旭、胡影。 Ⅰ 犌犅／犜３７９７２—２０１９ 引　　言 　　随着云计算技术的蓬勃发展，政府部门及重点行业等对采用云计算服务有了大量需求，为确保云服 务客户安全地使用云计算服务，确保云服务商的安全能力符合国家相关标准要求，确保云计算服务各相 关方能够实时、有效地掌握云计算服务的运行质量和安全状态，制定云计算服务运行监管框架。 本标准以ＧＢ／Ｔ３１１６７—２０１４《信息安全技术　云计算服务安全指南》为依据，以ＧＢ／Ｔ３１１６８—２０１４ 《信息安全技术　云计算服务安全能力要求》为要求，规范了政府部门云服务客户在使用云计算服务的过 程中，云服务商、运行监管方的相关责任及监管内容，提出了运行监管框架、过程及方式。同时，本标准 为云服务商支撑云计算服务运行监管活动提供指导，为运行监管方开展运行监管提供指导。 Ⅱ 犌犅／犜３７９７２—２０１９ 信息安全技术 云计算服务运行监管框架 １　范围 本标准确定了云计算服务运行监管框架，规定了安全控制措施监管、变更管理监管和应急响应监管 的内容及监管活动，给出运行监管实现方式的建议。 本标准适用于对政府部门使用的云计算服务进行运行监管，也可供重点行业和其他企事业单位使 用云计算服务时参考。 ２　规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ＧＢ／Ｔ３１１６７—２０１４　信息安全技术　云计算服务安全指南 ＧＢ／Ｔ３１１６８—２０１４　信息安全技术　云计算服务安全能力要求 ３　术语和定义 ＧＢ／Ｔ３１１６７—２０１４界定的以及下列术语和定义适用于本文件。 ３．１ 运行监管方　狅狆犲狉犪狋犻狅狀狊狌狆犲狉狏犻狊犻狅狀狅狉犵犪狀犻狕犪狋犻狅狀 独立于云计算服务相关方，且具有专业