国家标准计划《云计算服务安全能力评估方法》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 中国电子技术标准化研究院 、中国信息安全测评中心 、国家信息安全工程技术研究中心 、华为技术有限公司 、卫士通 、中电长城网际 、中标软件 、未来国际 、成都大学 、中金数据系统有限公司 、北京邮电大学 、浪潮集团有限公司 。
35 信息技术、办公机械 |
35.040 字符集和信息编码 |
全国信息安全标准化技术委员会已完成了《信息安全技术 云计算服务安全指南》和《信息安全技术 云计算服务安全能力要求》两项国家标准的报批稿。
其中,《信息安全技术 云计算服务安全能力要求》面向云服务商,提出了当云服务商以社会化方式为政府部门提供服务时应该具备的信息安全能力要求。
云服务商可在该标准的指导下,部署和实施云计算服务。
那么,如何对云服务商提供的云服务进行测评,以评估其是否满足该标准的要求,从而为政府部门等客户提供重要参考,则是当前亟需解决的问题。
通过本标准的研制,可以指导云服务商和第三方测评机构合理科学地对云服务商的云计算平台进行测评,以达到相应的安全要求。
本标准主要根据《信息安全技术 云计算服务安全能力要求》制定相关测评要求,从访问控制、身份认证、培训、审计、测试、配置管理、应急响应、运维、存储、物理和环境保护、人员安全、系统和服务采购、通信保护、信息完整性保护等方面对原标准的各个条款提出测评要求。