本标准描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业或企事业单位参考。

本标准主要从政府部门等客户的视角认识云计算服务,了解云计算所带来的优势及安全风险,了解采用云计算服务的整个生命周期中的关键环节和要求,本标准本身不关注云计算技术自身细节。对云服务商的安全要求也不是本标准所关注的内容,其内容参考与本标准配套的另一个标准《信息安全技术 云服务商安全能力要求》。

本标准主要框架如下:

引言

1范围

2规范性引用文件

3术语

4云计算概述

4.1云计算的主要特征

4.2服务模式

4.3部署模式

4.4云计算的优势

5云计算的风险管理

5.1概述

5.2云计算安全风险

5.3云计算服务安全管理的主要角色及责任

5.3云计算服务的信息安全管理基本要求

5.4云计算服务生命周期

6规划准备

6.1概述

6.2评估效益

6.3分类政府信息

6.4分类政府业务

6.5确定优先级

6.6安全保护要求

6.7需求分析

6.8形成决策报告

7选择服务商与部署

7.1云服务商安全能力要求

7.2确定云服务商

7.3合同中的安全考虑

7.4部署

8运行监管

8.1概述

8.2运行监管的角色与责任

8.2客户自身运行监管

8.3对云服务商的运行监管

9退出服务

9.1退出要求

9.2确定数据移交范围

9.3验证数据的完整性

9.4安全删除数据