云計算（cloud computing）是一種計算資源的新興利用模式。客戶（包括政府單位、企業(yè)單位等）可以通過購買服務(wù)的方式，通過網(wǎng)絡(luò)獲得計算、存儲、軟件等不同類型的資源。這即云計算服務(wù)（cloud computing service），是指使用定義的接口，借助云計算提供一種或多種資源的能力。此模式下，客戶部需要自己建設(shè)數(shù)據(jù)中心、購買軟硬件資源，避免了基礎(chǔ)設(shè)施的大量投入，僅需要較少的使用成本即可獲得優(yōu)質(zhì)的IT資源和服務(wù)。那么云計算服務(wù)商應(yīng)具有可靠的云計算能力和可信賴的云計算服務(wù)能力。云計算服務(wù)能力其中應(yīng)包括云計算服務(wù)安全能力。為確保其業(yè)務(wù)和數(shù)據(jù)的安全，客戶應(yīng)對云計算服務(wù)商的云計算服務(wù)安全能力進行評估，或委托第三方評估機構(gòu)進行評估。為評估活動的開展我國專門出臺有云計算服務(wù)安全能力的評估方法與評估辦法。

欲具體了解云計算與云計算服務(wù)介紹的請進入。

一、云計算服務(wù)安全能力介紹

我國國家標(biāo)準(zhǔn)GB/T 31167《信息安全技術(shù) 云計算服務(wù)安全指南》與GB/T 31168《信息安全技術(shù) 云計算服務(wù)安全能力要求》構(gòu)成了云計算服務(wù)安全管理的基礎(chǔ)文件。 GB/T 31167提出了客戶采用云計算服務(wù)的安全管理基本原則，給出了采用云計算服務(wù)的生命周期各階段的安全管理和技術(shù)措施；GB/T 31168面向云服務(wù)商，描述了提供云計算服務(wù)時應(yīng)具備的安全技術(shù)能力。

1、云計算服務(wù)安全指南

GB/T 31167《信息安全技術(shù) 云計算服務(wù)安全指南》用以指導(dǎo)客戶做好采用云計算服務(wù)的前期分析和規(guī)劃，選擇合適的云服務(wù)商與部署模式，對云計算服務(wù)進行運行監(jiān)管，規(guī)避退出云計算服務(wù)或更換云服務(wù)商的安全風(fēng)險。它指導(dǎo)客戶在采用云計算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施，保障數(shù)據(jù)和業(yè)務(wù)的安全，安全地使用云計算服務(wù)。GB/T31167標(biāo)準(zhǔn)具體提出了客戶采用云計算服務(wù)的安全管理基本原則和相關(guān)責(zé)任劃分，給出了采用云計算服務(wù)的生命周期各階段的安全管理和技術(shù)措施。下述對該標(biāo)準(zhǔn)給予概要介紹，若要詳細了解該標(biāo)準(zhǔn)具體內(nèi)容的請查閱下附件1-1。

附件 1-1：GB/T 31167-2023《信息安全技術(shù) 云計算服務(wù)安全指南》

安全管理責(zé)任。安全云計算環(huán)境中，下至基礎(chǔ)設(shè)施，上至用戶的應(yīng)用、數(shù)據(jù)，均可能面臨安全風(fēng)險。而由于云服務(wù)商與客戶各自具有不同的控制能力，因此安全責(zé)任需要由云服務(wù)商和客戶共同承擔(dān)。在分擔(dān)安全責(zé)任時，由于云服務(wù)商和客戶的控制范圍有所不同，因此宜根據(jù)云服務(wù)類別所涉及的云能力類型協(xié)商確定安全責(zé)任邊界。云服務(wù)商和云服務(wù)客戶可以在服務(wù)水平協(xié)議（SLA）中明確雙方各自承擔(dān)的相應(yīng)安全責(zé)任，GB/T 31167的附錄 A 中給出了責(zé)任劃分內(nèi)容的參考示例。采用云計算服務(wù)期間，客戶宜遵守的五原則包括：安全管理責(zé)任不變；資源的所有權(quán)不變；司法管轄關(guān)系不變；安全管理水平不變；堅持先評后用原則。具體釋義詳盡下表1-1-1。

表 1-1-1：采用云計算服務(wù)期間客戶宜遵守的五原則

服務(wù)的生命周期。采用云計算服務(wù)的生命周期可分為四個主要階段：規(guī)劃準(zhǔn)備、選擇云服務(wù)商與部署、運行監(jiān)管、退出服務(wù)，如下圖1-1-1所示。GB/T 31167的附錄 B 中給出了云計算可能面臨的安全風(fēng)險，并指導(dǎo)客戶基于風(fēng)險分析，根據(jù)業(yè)務(wù)和數(shù)據(jù)的特點選擇適用的云服務(wù)類別、部署模式等。

圖 1-1-1：采用云計算服務(wù)的生命周期階段劃分

數(shù)據(jù)的與業(yè)務(wù)的分類。客戶在選擇云計算服務(wù)之前，宜先明確計劃部署在云計算服務(wù)上數(shù)據(jù)類型和業(yè)務(wù)類型。GB/T 31167將非涉密數(shù)據(jù)分為敏感類、公開類兩種類型，敏感類數(shù)據(jù)可依據(jù)國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)等進一步劃分為一般敏感、重要、核心數(shù)據(jù)。根據(jù)業(yè)務(wù)（承載數(shù)據(jù)的業(yè)務(wù)）不能正常開展時可能造成的影響范圍和程度，GB/T 31167將業(yè)務(wù)劃分為一般業(yè)務(wù)、重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)等三種類型。各類型業(yè)務(wù)的含義詳見下表1-1-2。

表 1-1-2：云計算服務(wù)的業(yè)務(wù)分類劃分

安全能力級別。GB/T 31167將云計算服務(wù)安全能力劃分為一般、增強和高級三個能力級別，詳見下圖1-1-2所示。不同類型的數(shù)據(jù)和業(yè)務(wù)對安全保護能力有著不同的要求，客戶宜要求云服務(wù)商提供相應(yīng)強度的安全保護能力。采用云計算服務(wù)時，宜選擇具有相應(yīng)安全能力的云計算服務(wù)，具體選擇原則詳見下表1-1-3。

圖 1-1-2：云計算服務(wù)安全能力的劃分

表1-1-3：云計算服務(wù)安全能力的選擇原則

2、安全能力要求

國家標(biāo)準(zhǔn)GB/T 31168《信息安全技術(shù) 云計算服務(wù)安全能力要求》對云服務(wù)商提出了安全能力要求，反映了云服務(wù)商在保障云計算環(huán)境中客戶業(yè)務(wù)和數(shù)據(jù)的安全性時應(yīng)具備的安全能力。這些安全能力要求分為11類，每一類安全要求包含若干項具體要求，具體詳見下表1-2。依據(jù)GB/T 31167標(biāo)準(zhǔn)，GB/T 31168將11類云計算服務(wù)安全能力要求分為一般要求、增強要求和高級要求（見圖1-1-2），并給出了具體的指標(biāo)要求。高級要求和增強要求分別是對其低一級要求的補充和強化。在實現(xiàn)高級要求或增強要求時，其低一級要求應(yīng)首先得到滿足。下表1-2-2給出了了3個能力級別的 11類、114子類安全能力要求的數(shù)量統(tǒng)計情況。若要詳細了解該標(biāo)準(zhǔn)具體內(nèi)容的請查閱下附件1-2。

表 1-2-1：云服務(wù)商的安全能力要求（11類）

表 1-2-2：按安全能力級別劃分的安全能力要求數(shù)量統(tǒng)計表

附件 1-2：GB/T 31168-2023《信息安全技術(shù) 云計算服務(wù)安全能力要求》

二、云計算服務(wù)安全能力的評估方法

國家標(biāo)準(zhǔn)GB/T 34942《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》規(guī)定了依據(jù) GB/T 31168標(biāo)準(zhǔn)，開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法。它適用于第三方評估機構(gòu)對云服務(wù)商提供云計算服務(wù)時具備的安全能力進行評估，云服務(wù)商在對自身云計算服務(wù)安全能力進行自評估時也可參考。并且適用于對政府部門使用的云計算服務(wù)進行安全管理，也可供重點行業(yè)和其他企事業(yè)單位使用云計算服務(wù)時參考。GB/T 34942針對11類安全能力要求給出了詳細的評估內(nèi)容與方法，若要詳細了解該標(biāo)準(zhǔn)具體內(nèi)容的請查閱下附件2。

附件 2：GB/T 34942-2017《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》

1、評估原則

第三方評估機構(gòu)在評估時應(yīng)遵循客觀公正、可重用、可重復(fù)和可再現(xiàn)、靈活、最小影響及保密的原則，其具體釋義詳見下表2-1。

表 2-1：云計算服務(wù)安全能力的評估原則

2、評估內(nèi)容與方法

第三方評估機構(gòu)應(yīng)依據(jù)國家相關(guān)規(guī)定和 GB/T 31168標(biāo)準(zhǔn)，針對上述介紹的3個安全能力級別的 11類安全能力要求的安全措施實施情況進行評估。第三方評估機構(gòu)在開展安全評估工作中宜綜合采用訪談、檢查和測試等基本評估方法，以核實云服務(wù)商的云計算服務(wù)安全能力是否達到了一般安全能力或增強安全能力或高級安全能力。

3、評估證據(jù)

評估證據(jù)是指對評估結(jié)果起到佐證作用的任何實體，包括但不限于各種文檔、圖片、錄音、錄像、實物等，其載體可以是任何能夠保存的形式，包括但不限于紙質(zhì)的、電子的等。證據(jù)是在評估活動的過程中篩選或生成而來。所有評估活動產(chǎn)生的結(jié)果都應(yīng)有相應(yīng)的證據(jù)支持。證據(jù)應(yīng)得到妥善保管，以防止篡改、泄密、損壞、丟失等有損證據(jù)的行為。

4、評估過程

評估實施過程主要包括：評估準(zhǔn)備、方案編制、現(xiàn)場實施和分析評估四個階段，與云服務(wù)商的溝通與洽談貫穿整個過程。

三、云計算服務(wù)安全能力的評估辦法

為了提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部和財政部，于2019年7月2日聯(lián)合印發(fā)《云計算服務(wù)安全評估辦法》，旨在降低采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險，增強黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心。《辦法》對云計算服務(wù)商提供的云服務(wù)的安全能力納入國家行政管理，實施許可制度。

1、評估管理對象

云計算服務(wù)安全評估是依據(jù)云服務(wù)商申請，對面向客戶（主要是指黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施等）提供云計算服務(wù)的云平臺（包括云計算服務(wù)軟硬件設(shè)施及其相關(guān)管理制度等）進行的安全評估。只有在安全能力評估報告獲得通過，方具備向客戶提供服務(wù)的條件。

2、評估管理內(nèi)容

云計算服務(wù)安全評估重點評估下表3-2所述的內(nèi)容，云服務(wù)商并提供表3-2中所列的資料。

表 3-2：云計算服務(wù)安全評估的內(nèi)容與云服務(wù)商應(yīng)提供的資料

3、評估管理依據(jù)

云計算服務(wù)安全評估主要參照上述介紹的國家標(biāo)準(zhǔn)GB/T 31167《云計算服務(wù)安全能力要求》、GB/T 31168《云計算服務(wù)安全指南》和GB/T 34942-2017《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》。其中對GB/T 31168規(guī)定的11各安全能力方面提出的要求。

4、評估管理環(huán)節(jié)

主要包括申報、受理、專業(yè)技術(shù)機構(gòu)評價、云計算服務(wù)安全評估專家組綜合評價、云計算服務(wù)安全評估工作協(xié)調(diào)機制審議、國家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)、評估結(jié)果發(fā)布、持續(xù)監(jiān)督等環(huán)節(jié)。

欲詳細了解《云計算服務(wù)安全評估辦法》具體內(nèi)容的請進入。

事實上，云計算服務(wù)安全能力僅是云計算服務(wù)能力的一個方面，云計算服務(wù)商提供的云計算服務(wù)能力還應(yīng)包括其服務(wù)質(zhì)量能力，包括其資產(chǎn)、功能性、非功能性等方面。

欲進一步了解關(guān)于云服務(wù)的采購指南與交付要求的請進入。