安全建设管理
安全建设管理对云计算环境安全建设过程提出了安全控制扩展要求,涉及的安全控制点包括云服务商选择和供应链管理。
控制点
1.
云服务商选择
a)
安全要求:应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。
要求解读:为确保云服务商提供的服务符合安全性需求,云服务客户应选择安全合规的云服务商,且云服务商提供的安全保护能力等级应具有相应的或高于业务应用系统需求的等级。
检查方法
1.访谈系统建设负责人,确认云服务商所提供的云算平台的安全保护等级,并核查云计算平台的安全保护等级证明。
2.访谈系统管理员,了解业务应用系统的安全保护等级。
3.核查云服务商提供的云计算平台的安全防护能力是否能够满足业务应用系统需求。
期望结果
1.有云服务商提供的云计算平台安全保护等级说明。
2.云计算平台具有相应的或高于业务应用系统需求的安全防护能力。
b)
安全要求:应在服务水平协议中规定云服务的各项服务内容和具体技术指标。
要求解读:云服务商与云服务客户签订服务水平协议(如SLA),协议内容可能因云服务客户、业务类型、服务形式等的不同而不同。协议内容应尽可能包含信息安全管理需求,明确云服务商所提供的云服务的内容及云服务商需要提供的技术指标。
检查方法
1.核查是否与云服务商签订了服务水平协议或服务合同。
2.核查服务水平协议或服务合同的内容是否对云服务商所提供的云服务的内容及云服务商需要提供的技术指标进行了规定。
期望结果
1.云服务商与云服务客户签订了服务水平协议。
2.服务水平协议的内容包括云服务商所提供的云服务的内容及云服务商需要提供的技术指标。
c)
安全要求:应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
要求解读:在云服务商与服务客户签订的服务水平协议中,应对云服务商的权限和责任进行规定,并对云服务商的管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等进行规定。
检查方法
核查云服务商与云服务客户签订的服务水平协议是否对云服务商的权限和责任进行了规定,协议内容是否包括云服务商的管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
期望结果
1.云服务商与云服务客户签订了服务水平协议。
2.服务水平协议规定了云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
d)
安全要求:应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。
要求解读:云服务商与云服务客户签订的服务水平协议应包括业务关系到期和受其影响的用户数据的处理方案。应制定相关规定,确保当云服务客户与云服务商的服务合约到期后,云服务商向云服务客户提供完整的数据,并保证将相关数据从云计算平台上完全清除。
检查方法
1.核查云服务商与云服务客户签订的服务水平协议是否规定了业务关系到期和受其影响的用户数据的处理方案,以及是否规定了服务合约到期后云服务商应向云服务客户提供完整的数据。
2.核查云服务商与云服务客户签订的服务水平协议是否规定了合约到期后云服务商应清除云计算平台上的数据。
期望结果
1.云服务商与云服务客户签订了服务水平协议。
2.服务水平协议规定了业务关系到期和受其影响的用户数据的处理方案,以及服务合约到期后云服务商向云服务客户提供完整数据和清除数据的方案。
e)
安全要求:应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。
要求解读:云服务客户与云服务商应签署保密协议,协议应规定云服务商不得以任何理由泄露云服务客户数据。
检查方法
1.访谈云服务客户,了解其是否与云服务商签订了保密协议。
2.核查保密协议是否规定云服务商不得以任何理由泄露云服务客户的数据。
期望结果
1.云服务商与云服务客户签订了保密协议。
2.保密协议明确规定数据归云服务客户所有,云服务商不得以任何理由泄露云服务客户的数据。
控制点
2.
供应链管理
用于云计算环境具有网络复杂性、数据安全传递性、服务动态性等特点,所以,应在云服务供应链安全管理过程中考虑数据安全、网络安全、供应商安全等方面的问题。保障云计算供应链管理的安全,有助于云服务商管理好合作伙伴、为用户提供足够的信心。
a)
安全要求:应确保供应商的选择符合国家有关规定。
要求解读:在采购和使用安全产品、选择安全服务提供商及选择云服务商时,应确保产品和服务符合国家有关规定。
安全产品的采购和使用应符合国家有关规定,例如《公安部关于加强信息网络安全检测产品销售和使用管理的通知》、《含有密码技术的信息产品政府采购规定》等。部分特殊行业,例如金融、电力、能源等,应有对安全产品的采购和使用的相关规定。
云服务供应商在选择安全服务提供商时,应充分考虑国家法律法规、行业规范等的要求,以保持云计算安全服务的持续性和合规性。例如,《商用密码管理条例》规定,若商用密码产品发生故障,则必须由国家密码管理机构指定的单位维修。
检查方法
1.访谈系统管理员,确认所选择的云服务商。
2.核查云服务商提供的产品或服务清单。核查所选择的供应商是否满足国家有关规定(例如查阅安全产品销售许可证、加密服务资质证明)。
期望结果
所选择的供应商符合国家有关规定,均具有相关资质(例如,能够提供安全产品销售许可证、加密服务资质证明等)。
b)
安全要求:应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。
要求解读:云服务商应及时向云服务客户传达供应链上的安全事件信息或安全威胁信息,采取相应的措施控制可能的风险。针对特定的信息安全事件(例如影响服务正常提供的事件或敏感信息泄露等重大问题),应及时向相关方提供信息,以便其采取应对措施。
检查方法
1.核查云服务商是否定期向云服务客户通报安全事件。
2.核查是否有相关的供应链安全事件报告或威胁报告。
3.核查供应链安全事件报告或威胁报告,了解事件报告是否及时,以及报告内容是否明确了相关事件信息或威胁信息。
期望结果
云服务商在第一时间向云服务客户推送安全事件信息。
c)
安全要求:应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。
要求解读:云服务商与服务客户间应有供应链协议。如果云服务商进行的变更有可能对云服务客户造成影响,则应评估变更带来的安全风险,及时告知云服务客户(或者事前得到云服务客户的授权),以便于云服务客户能够采取措施应对可能的风险。
检查方法
1.核查云服务商与云服务客户间的供应链协议。核查云服务商进行的变更是否都已及时告知云服务客户或事前得到云服务客户的授权。
2.核查云服务客户是否对变更的风险进行了安全评估,是否采取了相应的措施应对安全风险。
期望结果
1.云服务商通过云管平台推送通知和公告,云服务客户能够通过自己的控制台查看相关风险和控制变更的信息。
2.云服务商对所有变更进行了变更流程控制,云服务客户可以根据需求查看自己感兴趣的风险信息。