农产品网站开发,深圳品牌设计公司的发展,上海小程序开发定制公司,wordpress导航菜单均报404目录 一、概述
二、云安全服务基本能力要求
三、信息安全服务#xff08;云计算安全类#xff09;资质要求
3.1 概述
3.2 资质要求内容
3.2.1 组织与管理要求
3.2.2 技术能力要求
四、云安全主要合规要求
4.1 安全管理机构部门的建立
4.2 安全管理规范计划的编制
4…
目录 一、概述
二、云安全服务基本能力要求
三、信息安全服务云计算安全类资质要求
3.1 概述
3.2 资质要求内容
3.2.1 组织与管理要求
3.2.2 技术能力要求
四、云安全主要合规要求
4.1 安全管理机构部门的建立
4.2 安全管理规范计划的编制
4.3 安全测评认证的筹备
4.3.1 可信云评估认证
4.3.2 C-STAR云安全评估
4.3.3 网络安全等级保护测评认证
4.4 定期风险评估和应急演练
4.4.1 信息安全风险评估
4.4.2 网络安全应急演练 一、概述
云服务商应该在满足《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规要求的前提下在其与客户之间进行合理的安全责任划分。同时云服务商为了更好地为客户提供服务还要通过相关的云安全服务资质认证。
二、云安全服务基本能力要求
国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时云服务商应具备的信息安全技术能力。适用于对政府部门使用的云计算服务进行安全管理也可供重点行业和其他企事业单位使用云计算服务时参考还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类分别是系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境保护。
《信息安全技术 云计算服务安全能力要求》文档地址
国家标准《信息安全技术云计算服务安全能力要求》GB/T31168-2014简介_中央网络安全和信息化委员会办公室 (cac.gov.cn)
三、信息安全服务云计算安全类资质要求
3.1 概述
中国信息安全测评中心的信息安全服务云计算安全类资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务云计算安全类资质级别的评定是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质云计算安全类具体要求在对申请组织的基本资格、技术实力、云计算安全服务能力以及云计算安全服务项目的组织管理水平等方面的评估结果基础上进行综合评定后由中国信息安全测评中心给予相应的资质级别。
基本能力要求包括组织与管理要求及技术能力要求。
3.2 资质要求内容
3.2.1 组织与管理要求
必须拥有健全的组织和管理体系为持续的云计算安全服务提供保障。必须具有专业从事云计算安全服务的队伍和相应的质量保证。与云计算安全服务相关的所有成员要签订保密合同并遵守有关法律法规。
3.2.2 技术能力要求
了解信息系统技术的最新动向有能力掌握信息系统的最新技术。具有不断的技术更新能力。具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。能根据对用户信息系统风险的分析向用户建议有效的安全保护策略及建立完善的安全管理制度。具有对发生的突发性安全事件进行分析和解决的能力。具有对市场上的信息系统产品进行功能分析提出安全策略和安全解决方案及安全产品的系统集成能力。具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力。具有对集成的信息系统进行检测和验证的能力有能力对信息系统进行有效的维护。有跟踪、了解、掌握、应用国际/国家和行业标准的能力。
四、云安全主要合规要求
4.1 安全管理机构部门的建立
组织成立的信息安全领导小组是信息安全领域的最高决策机构其下设办公室来负责信息安全领导小组的日常事务。
信息安全领导小组负责研究重大事件落实方针政策和制定总体策略等。职责主要包括根据国家和行业有关信息安全的政策、法律和法规批准组织的信息安全总体策略规划、管理规范和技术标准确定组织信息安全各有关部门工作职责指导、监督信息安全工作及时掌握和解决影响网络安全运行方面的有关问题组织力量对突发事件进行应急处理确保单位信息工作的安全。
同时要设置信息系统安全相关的关键岗位并加强管理配备系统安全管理员、网络安全管理员、应用开发安全管理员、安全审计员、安全保密管理员并各自独立遵循权限非斥原则。关键岗位人员必须严格遵守保密法规和有关信息安全管理规定。
4.2 安全管理规范计划的编制
信息安全管理作为组织完整管理体系中的一个重要环节是指导和控制组织的关于信息安全风险的相互协调的活动。
安全管理计划的范畴包含信息安全活动过程中所涉及的各种安全管理问题主要包括人员、组织、技术、服务等方面的安全管理要求和规定。
信息安全管理体系是一个自上而下的管理过程GB/T 29246—2017(ISO/IEC 27000:2016)中描述了信息安全管理体系成功的主要因素诸如
信息安全策略、目标和与目标一致的活动。与组织文化一致的信息安全设计、实施、监视、保持和改进的方法与框架。来自所有管理层级、特别是最高管理者的可见支持和承诺。对应用信息安全风险管理见ISO/IEC 27005实现信息资产保护的理解。有效的信息安全意识、培训和教育计划以使所有员工和其他相关方知悉在信息安全策略、标准等中自身的信息安全义务并激励其做出相应的行动。有效的信息安全事件管理过程。有效的业务连续性管理方法。8)评价信息安全管理性能的测量系统和反馈的改进建议。
云计算安全体系下的安全管理规范计划的编制主要涉及如下一些文档类型《安全组织架构和岗位职责说明》《人员安全管理流程规范》《应用安全开发管理规范》《应用及数据安全管理规范》《云租户系统上线检测流程规范》《云平台安全运维流程规范》《安全事件应急响应流程规范》《安全应急演练规划和报告》《网络安全等级保护测评自查报告》《可信云认证测评自查清单》等。
4.3 安全测评认证的筹备
信息安全服务云计算安全类资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。目前国内的云计算服务安全认证主要有网络安全等级保护测评认证、信息安全服务资质云计算安全类一级认证、可信云评估认证等国外的云计算服务安全认证主要有C-STAR、FedRAMP认证、ISO 27001、新版ISO 20000认证、SOC独立审计、CNAS云计算国家标准测试。
4.3.1 可信云评估认证
可信云评估是中国信息通信研究院下属的云计算服务和软件评估品牌也是我国针对云计算服务和软件的专业评估体系。可信云评估的核心目标是建立云服务商的评估体系为用户选择安全、可信的云服务商提供支撑促进我国云计算市场健康、创新发展提升服务质量和诚信水平逐步建立云计算产业的信任体系被业界广泛接受和信任。
目前发布的重要的可信云标准及白皮书主要有《云服务用户数据保护能力参考框架》《云计算运维平台参考框架及技术要求征求意见稿》《可信云多云管理平台评估方法》《可信云服务认证评估方法》《开源治理能力评价方法》《可信云混合云解决方案评估方法》《可信云·云管理服务提供商能力要求》《可信物联网云平台能力评估方法》《智能云服务技术能力要求》等。
4.3.2 C-STAR云安全评估
C-STAR云安全评估是一个全新而独特的服务旨在应对与云安全相关的特定问题是ISO/IEC 27001的增强版本。它结合云控制矩阵、成熟度等级评价模型以及相关法律法规和标准要求对云计算服务进行全方位的安全评估。
C-STAR云安全评估的管控要求极为严格评估过程采用国际先进的成熟度等级评价模型涵盖应用和接口安全、审计保证与合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和脆弱性管理等16个控制域的全方位安全评估。
4.3.3 网络安全等级保护测评认证
网络安全等级保护测评认证是指测评机构依据国家网络安全等级保护管理制度规定按照有关管理规范和技术标准对不涉及国家机密的信息系统安全保护状况进行等级测试评估的活动。
网络安全等级测评是测评机构依据《信息安全技术 网络安全等级保护测评要求》等管理规范和技术标准检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程是落实网络全等级保护制度的重要环节。在信息系统建设、整改时信息系统运营、使用单位通过等级测评进行现状分析确定系统的安全保护现状和存在的安全问题并在此基础上确定系统的整改安全需求。
4.4 定期风险评估和应急演练
《网络安全法》第二十五条规定网络运营者应当制订网络安全事件应急预案及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险在发生危害网络安全的事件时立即启动应急预案采取相应的补救措施并按照规定向有关主管部门报告。
《网络安全法》第三十八条规定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
4.4.1 信息安全风险评估
随着信息化的不断深入信息化在给组织带来便利的同时也带来了新的安全问题信息系统本身的不安全因素和人为的攻击破坏及安全管理制度的不完善或执行不到位等都潜伏着很多安全隐患。因此组织亟需建立完善的信息安全保障体系防范信息安全风险。信息安全保障体系的建设是一项系统工程风险评估在其中占有非常重要的地位是信息安全保障体系建设的基础和前提。
信息安全风险评估就是从风险管理角度运用科学的方法和手段系统地分析信息系统所面临的威胁及其存在的脆弱性评估安全事件发生的概率及可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施为防范和化解信息安全风险将风险控制在可接受的水平最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段是信息安全等级保护制度建设的重要科学方法之一。
4.4.2 网络安全应急演练
应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等以下统称演练组织单位组织相关单位及人员依据有关网络安全应急预案开展应对网络安全事件的活动。
通过开展应急演练查找应急预案中存在的问题进而完善应急预案提高应急预案的实用性和可操作性检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况发现不足并及时予以调整补充做好应急准备工作增强演练组织单位、参与单位和人员等对应急预案的熟悉程序加强配合提高其应急处置能力进一步明确相关单位和人员的职责任务理顺工作关系完善各关联方之间分离、阻隔、配套应急联动机制防范网络安全风险扩展。 好了本次内容就分享到这欢迎大家关注《云计算安全》专栏后续会继续输出相关内容文章。如果有帮助到大家欢迎大家点赞关注收藏有疑问也欢迎大家评论留言
