GB/T 31167-2023
信息安全技術(shù) 云計(jì)算服務(wù)安全指南
Information Security Technology Cloud Computing Service Security Guidelines
GBT31167-2023, GB31167-2023
標(biāo)準(zhǔn)演進(jìn)與核心變化
GB/T 31167-2023作為2014版的替代標(biāo)準(zhǔn),主要呈現(xiàn)以下技術(shù)演進(jìn):
| 維度 | 2014版 | 2023版 |
|---|---|---|
| 適用范圍 | 政府部門 | 全行業(yè)客戶 |
| 責(zé)任劃分 | 未明確云服務(wù)安全提供商角色 | 新增云服務(wù)安全提供商責(zé)任 |
| 數(shù)據(jù)分類 | 敏感/公開二級分類 | 擴(kuò)展為一般敏感/重要/核心三級體系 |
安全管理框架
責(zé)任矩陣模型
基于不同云能力類型的安全責(zé)任劃分:
| 能力類型 | 客戶責(zé)任 | 云服務(wù)商責(zé)任 |
|---|---|---|
| 基礎(chǔ)設(shè)施能力類型 | 虛擬機(jī)OS及以上層級 | 虛擬化層及物理設(shè)施 |
| 平臺能力類型 | 應(yīng)用代碼與數(shù)據(jù) | 中間件及底層平臺 |
實(shí)施關(guān)鍵點(diǎn)
數(shù)據(jù)生命周期保護(hù)
針對數(shù)據(jù)殘留風(fēng)險(xiǎn),標(biāo)準(zhǔn)要求退出服務(wù)時(shí):
- 介質(zhì)清理需記錄并監(jiān)督
- 不可清理介質(zhì)應(yīng)物理銷毀
- 驗(yàn)證刪除的完整性
業(yè)務(wù)連續(xù)性保障
應(yīng)對云服務(wù)商依賴的三大措施:
| 風(fēng)險(xiǎn)類型 | 緩解方案 |
|---|---|
| 網(wǎng)絡(luò)依賴 | 多運(yùn)營商鏈路冗余 |
| 平臺依賴 | 異地?cái)?shù)據(jù)中心備份 |
| 服務(wù)商經(jīng)營風(fēng)險(xiǎn) | 定期財(cái)務(wù)健康檢查 |
合規(guī)建議
根據(jù)標(biāo)準(zhǔn)9.5.8條款,在華運(yùn)營需特別注意:
- 數(shù)據(jù)存儲位置必須境內(nèi)
- 跨境數(shù)據(jù)傳輸需單獨(dú)審批
- 司法管轄權(quán)條款需明確寫入合同
請注意,本內(nèi)容不等同于標(biāo)準(zhǔn)原文,內(nèi)容僅供參考,本站不保證內(nèi)容的正確性。準(zhǔn)確、完整的信息請參閱正式版文本。
點(diǎn)擊查看大圖
- 標(biāo)準(zhǔn)號
- GB/T 31167-2023
- 別名
- GBT31167-2023
GB31167-2023 - 發(fā)布
- 2023年
- 總頁數(shù)
- 28頁
- 發(fā)布單位
- 國家質(zhì)檢總局
- 當(dāng)前最新
- GB/T 31167-2023
- 引用標(biāo)準(zhǔn)
- GB/T 31168 GB/T 36325 GB/T 37972
- 本體
- 云計(jì)算
GB/T32400一2015定義了3類不同的云能力類型:應(yīng)用能力類型、平臺能力類型和基礎(chǔ)設(shè)施能力類型。不同云能力類型下云服務(wù)商與客戶的控制范圍不同。 客戶宜根據(jù)不同云服務(wù)類別的特點(diǎn)和自身數(shù)據(jù)及業(yè)務(wù)系統(tǒng)的安全管理要求,結(jié)合自身的技術(shù)能力、市場及技術(shù)成熟度等因素選擇云服務(wù)類型。 圖3中的上三層由應(yīng)用軟件層、軟件平臺層、虛擬化計(jì)算資源層構(gòu)成云計(jì)算環(huán)境的邏輯元素。 ...
| 術(shù)語 | |
|---|---|
| 應(yīng)用能力類型 | Application Service Type |
| 平臺能力類型 | Platform Service Type |
| 基礎(chǔ)設(shè)施能力類型 | Infrastructure Service Type |
其他標(biāo)準(zhǔn)
GB/T 31167-2023相似標(biāo)準(zhǔn)
推薦
2014中國云計(jì)算大數(shù)據(jù)安全大會在中國科大召開
10月18日至19日,2014中國云計(jì)算大數(shù)據(jù)安全大會(C4BDS 2014)在中國科學(xué)技術(shù)大學(xué)水上報(bào)告廳召開。來自國家政府部門、大型企業(yè)、科研機(jī)構(gòu)、高校等單位的500余人次參加了此次會議。會議開幕式由大會主席、中國科大信息學(xué)院俞能海教授主持。 中國科大副校長張淑林致開幕辭,她介紹了中國科大在...
中國將食品安全信息報(bào)告增列入基本公共衛(wèi)生服務(wù)
2011年中國基本公共衛(wèi)生服務(wù)項(xiàng)目將食品安全信息報(bào)告納入其中。這是記者24日在衛(wèi)生部召開的新聞發(fā)布會上了解到的。 發(fā)布會提供的資料顯示,2011年國家基本公共衛(wèi)生服務(wù)項(xiàng)目共10大類41項(xiàng)。其中,“食品安全信息報(bào)告”一項(xiàng)被列入“衛(wèi)生監(jiān)督協(xié)管”類別中。 “食品安全信息報(bào)告”項(xiàng)目具體內(nèi)容為,對轄區(qū)...
河北省提升餐飲服務(wù)食品安全監(jiān)管信息化水平
自去年以來,河北省各級食藥監(jiān)系統(tǒng)內(nèi)科技信息部門密切配合、協(xié)調(diào)指導(dǎo),推進(jìn)“餐飲服務(wù)食品安全監(jiān)督管理系統(tǒng)”在日常監(jiān)督檢查、案件查處、重大活動保障、量化分級等執(zhí)法活動中的運(yùn)用,確保全省餐飲數(shù)據(jù)的統(tǒng)一性、完整性和準(zhǔn)確性,建立健全統(tǒng)一、高效、方便、快捷的省、市、縣(區(qū))三級餐飲服務(wù)食品安全監(jiān)管信息交互平臺...
計(jì)算機(jī)網(wǎng)絡(luò)信息中心在路由安全領(lǐng)域研究獲進(jìn)展
針對路由起源授權(quán)(Route Origin Authorization, ROA)編碼難以兼顧安全性和可擴(kuò)展性的問題,中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心信息化前瞻技術(shù)研究開放實(shí)驗(yàn)室提出了一種新型編碼方案,在保障與現(xiàn)有最安全方案相同安全性的同時(shí)大幅優(yōu)化編碼效果,編碼壓縮率和可擴(kuò)展性均遠(yuǎn)勝現(xiàn)有方案。相關(guān)...