1、总则
1.1、目的
为规范XXXXX单位使用云计算服务的安全,为使用云计算服务提供全生命周期的安全指导,特制定本制度。
1.2、范围
本制度适用于XXXXX单位采用云计算租赁服务的安全管理基本要求。
1.3、职责
信息安全工作小组负责执行云租赁服务的安全管理,信息安全领导小组负责领导和统筹云租赁服务安全管理。
2、管理细则
2.1、云服务商的选择
应保证云计算基础设施:计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内;机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。
为保证数据和业务安全,XXXXX单位应选择通过安全审查的云服务商。选择云服务商应考虑但不限于以下方面的因素:
- 服务模式能否满足需求;
- 部署模式能否满足需求;
- 云计算服务的安全能力(一般保护或增强保护)能否满足需求;
- 定制开发能力能否满足需求;
- 云服务商对运行监管的接受程度,能否提供运行监管接口;
- 云计算平台的可扩展性、可用性、可移植性、互操作性、功能、容量、性能等能否满足需求;
- 数据的存储位置,包括数据传输的路径;
- 灾难恢复能力能否满足需求;
- 资源占用、带宽租用、监管、迁移或退出服务、培训等费用的计费方式和标准;
- 出现安全事件并造成损失时,云服务商的补偿能力与责任;
- 云服务商是否配合对其雇员进行背景调查。
2.2、合同中的安全考虑
合同是明确云服务商与XXXXX单位间责任和义务的基本手段。有效的合同是安全、持续使用云计算服务的基础,应全面、明确地制定合同的各项条款,突出考虑信息安全问题。
合同应明确云服务商需承担以下责任和义务:
- 承载XXXXX单位数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为XXXXX单位提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
- XXXXX单位提供给云服务商的数据、设备等资源,以及云计算平台上XXXXX单位业务运行过程中收集、产生、存储的数据和文档等都属XXXXX单位所有,云服务商应保证XXXXX单位对这些资源的访问、利用、支配等权利。
- 云服务商不得依据其他国家的法律和司法要求将XXXXX单位数据及相关信息提供给他国政府及组织。
- 未经XXXXX单位授权,不得访问、修改、披露、利用、转让、销毁XXXXX单位数据;在服务合同终止时,应将数据、文档等归还给XXXXX单位,并按要求彻底清除数据。如果XXXXX单位有明确的留存要求,应按要求留存XXXXX单位数据。
- 采取有效管理和技术措施确保XXXXX单位数据和业务系统的保密性、完整性和可用性。
- 接受XXXXX单位的安全监管。
- 当发生安全事件并造成损失时,按照双方的约定进行赔偿。
- 不以持有XXXXX单位数据相要挟,配合做好XXXXX单位数据和业务的迁移或退出。
- 发生纠纷时,在双方约定期限内仍应保证XXXXX单位数据安全。
- 法律法规明确或双方约定的其他责任和义务。
2.3、服务水平协议
服务水平协议(简称SLA)约定云服务商向XXXXX单位提供的云计算服务的各项具体技术和管理指标,是合同的重要组成部分。应与云服务商协商服务水平协议,并作为合同附件。
服务水平协议应与服务需求对应,针对需求分析中给出的范围或指标,在服务水平协议中要给出明确参数。服务水平协议中需对涉及到的术语、指标等明确定义,防止因二义性或理解差异造成违约纠纷或损失。
2.4、保密协议
可访问XXXXX单位信息或掌握XXXXX单位业务运行信息的云服务商应与XXXXX单位签订保密协议;能够接触XXXXX单位信息或掌握XXXXX单位业务运行信息的云服务商内部员工,应签订保密协议,并作为合同附件。
保密协议应包括:
- 遵守相关法律法规、规章制度和协议,在XXXXX单位授权的前提下合理使用XXXXX单位信息,不得以任何手段获取、使用未经授权的XXXXX单位信息;
- 未经授权,不应在工作职责授权范围以外使用、分享XXXXX单位信息;
- 未经授权,不得泄露、披露、转让以下信息:
- 技术信息:同业务相关的程序、代码、流程、方法、文档、数据等内容;
- 业务信息:同业务相关的人员、财务、策略、计划、资源消耗数量、通信流量大小等业务信息;
- 安全信息:包括账号、口令、密钥、授权等用于对网络、系统、进程等进行访问的身份与权限数据,还包括对正当履行自身工作职责所需要的重要、适当和必要的信息;
- 第三方要求披露信息或XXXXX单位敏感信息时,不应响应,并立刻报告;
- 对违反或可能导致违反协议、规定、规程、策略、法律的活动或实践,一经发现,应立即报告;
- 合同结束后,云服务商应返还信息和XXXXX单位数据,明确返还的具体要求、内容;
- 明确保密协议的有效期。
2.5、合同的信息安全相关内容
与云服务商签订合同时,应该全面考虑采用云计算服务可能面临的安全风险,并通过合同对管理、技术、人员等进行约定,要求云服务商为XXXXX单位提供安全、可靠的服务。
合同至少应包括以下信息安全相关内容:
- 云服务商的责任和义务。若有其他方参与,应明确其他方的责任和义务;
- 云服务商应遵从的技术和管理标准;
- 服务水平协议,明确XXXXX单位特殊的性能需求、安全需求等;
- 保密条款,包括确定可接触XXXXX单位信息特别是敏感信息的人员;
- XXXXX单位保护云服务商知识产权的责任和义务;
- 合同终止的条件及合同终止后云服务商应履行的责任和义务;
- 若云计算平台中的业务系统与XXXXX单位其他业务系统之间需要数据交互,约定交互方式和接口;
- 云计算服务的计费方式、标准,XXXXX单位的支付方式等;
- 违约行为的补偿措施;
- 云计算服务部署、运行、应急处理、退出等关键时期相关的计划,这些计划可作为合同附件,涉及到的相关附件包括但不限于:
a)云计算服务部署方案,确定阶段性成果及时间要求;
b)运行监管计划,明确XXXXX单位的运行监管要求;
c)应急响应计划、灾难恢复计划,明确处理安全事件、重大灾难事件等的流程、措施、人员等;
d)退出服务方案,明确退出云计算服务时XXXXX单位数据和业务的迁移、退出方案;
e)培训计划,确定云服务商对XXXXX单位的培训方式、培训内容、人员及时间;
2.6、部署
为确保云计算服务的部署工作顺利开展,应提前与云服务商协商制定云计算服务部署方案,该方案可作为合同附件。如果涉及将正在运行的业务系统迁移到云计算平台,网络安全与信息化管理部门还应考虑迁移过程中的数据安全及业务持续性要求。
2.6.1、部署方案
云计算服务部署方案至少应包括以下内容:
- 双方的部署负责人和联系人,参与部署的人员及其职责;
- 部署的实施进度计划表;
- 相关人员的培训计划;
- 部署阶段的风险分析。部署阶段的风险可能包括:技术人员误操作导致的数据丢失;业务系统迁移失败无法回退到初始状态;业务系统迁移过程中的业务中断;云服务商在部署过程中获得了额外的访问XXXXX单位数据和资源的权限等;
- 部署和回退策略。为降低部署阶段的安全风险,网络安全与信息化管理部门应制定数据和业务系统的备份措施、业务系统迁移过程中的业务持续性措施等,制定部署失败的回退策略,避免由于部署失败导致XXXXX单位数据的丢失和泄漏。
2.7、投入运行
- 组织技术力量或委托第三方评估机构对云计算服务的功能、性能和安全性进行测试,各项指标均满足要求后方可投入正式运行。
- 数据和业务系统迁移后,原有业务系统应与迁移到云计算平台上的业务系统并行运行一段时间,以确保业务的持续性。
- 云计算服务投入运行后,应按2.8的要求加强使用过程中的运行监管,确保XXXXX单位能持续获得安全、可靠的云计算服务。
2.8、运行监管
在采用云计算服务时,虽然将部分控制和管理任务转移给云服务商,但最终安全责任还是由自身承担。应加强对云服务商的运行监管,同时对自身的云计算服务使用、管理和技术措施进行监管。运行监管的主要目标是确保:
- 合同规定的责任义务和相关政策规定得到落实,技术标准得到有效实施;
- 服务质量达到合同要求;
- 重大变更时XXXXX单位数据和业务的安全;
- 及时有效地响应安全事件。
2.8.1、运行监管的角色与责任
要按照合同、规章制度和标准加强对云服务商和自身的运行监管,云服务商、第三方评估机构应积极参与和配合。应明确双方负责运行监管的责任人和联系方式。
2.8.1.1、自身监管责任
在运行监管活动中的责任如下:
- 监督云服务商严格履行合同规定的各项责任和义务,自觉遵守有关政府信息安全的规章制度和标准;
- 协助云服务商处理重大信息安全事件;
- 按照政府信息系统安全检查要求,对云服务商的云计算平台开展年度安全检查;
- 在云服务商的支持配合下,对以下方面进行监管:
a)服务运行状态;
b)性能指标,如资源使用情况;
c)特殊安全需求;
d)云计算平台提供的监视技术和接口;
e)其他必要的监管活动;
- 加强对云计算服务和业务使用者的信息安全教育和监管;
- 对自身负责的云计算环境及客户端的安全措施进行监管。
应根据运行监管过程中获得的相关材料进行风险评估(可以根据自身情况确定是否委托第三方评估机构),若发现问题则要求云服务商进行整改。若评估结果表明云服务商存在严重问题,不能满足需求,可以选择退出服务或变更云服务商。
2.8.2、监管要求
应将云计算服务纳入其信息安全管理工作内容,加强云计算服务使用过程中对自身的运行监管,主要涉及对云计算服务及业务系统使用者的违规及违约情况、自身负责的安全措施实施情况的监管。
2.8.2.1、对违规及违约情况的监管
应对云计算服务及业务系统使用者进行监管,要求其遵守国家有关信息安全的法律法规、标准及合同要求:
- 不得向云计算平台和相关系统传送恶意程序、垃圾数据,以及其他可能影响云计算平台正常运行的代码;
- 不得利用云计算平台实施网络攻击;
- 不得对云计算平台进行网络攻击,窃取或篡改数据资料;
- 不得利用云计算平台可能存在的技术缺陷或漏洞破坏云服务商和XXXXX单位的权益;
- 不得利用云计算平台制作和传播淫秽、反动和危害国家安全的非法信息。
2.8.2.2、对安全措施的监管
应对其负责的云计算环境及客户端的安全措施进行监管,确保安全措施已实施并正常运行,应监管的安全措施包括但不限于:
- 监管账号,包括管理员账号和一般用户账号,发现任何非法使用XXXXX单位账号的情况,应在权限范围内处置,必要时通知云服务商;
- 监管云客户端的安全防护措施,如恶意代码防护、浏览器版本及插件更新、智能移动终端安全加固等;
- 监管在PaaS环境中开发、部署应用的安全措施;
- 监管在IaaS环境中部署的操作系统、业务系统等安全措施;
- 内部或委托第三方评估机构对实施的安全措施进行安全测评和检查。
2.8.2.3、对云服务商的运行监管
2.8.2.3.1、运行状态监管
XXXXX单位通过运行状态监管了解和掌握云服务商及其提供的云计算服务的状态,运行监管内容包括:
- 安全事件响应;
- 重大变更处理;
- 整改记录;
- 信息安全策略更新;
- 应急响应计划更新;
- 应急响应演练;
- 云服务商委托第三方评估机构的测评。
2.8.2.3.2、重大变更监管
XXXXX单位或委托第三方评估机构评估云计算平台中重大变更可能带来的风险,并根据评估结果确定需要进一步采取的措施,包括退出云计算服务。重大变更包括但不限于:
- 鉴别(包括身份鉴别和数据源鉴别)和访问控制措施的变更;
- 数据存储实现方法的变更;
- 云计算平台中软件代码的更新;
- 备份机制和流程的变更;
- 与外部服务商网络连接的变更;
- 安全措施的撤除;
- 已部署商业软硬件产品的替换;
- 云计算服务分包商的变更,例如PaaS、SaaS服务商更换IaaS服务商。
2.8.2.3.3、安全事件监管
在运行监管活动中,XXXXX单位、云服务商的任何一方发现安全事件,都应及时通知对方,云服务商应及时对安全事件进行处置。安全事件包括但不限于:
- 非授权访问事件,如对云计算环境下的业务系统、数据或其他计算资源进行非授权逻辑或物理访问等;
- 拒绝服务攻击事件;
- 恶意代码感染,如云计算环境被病毒、蠕虫、特洛伊木马等恶意代码感染;
- XXXXX单位违反云计算服务的使用策略,例如发送垃圾邮件等。
2.9、退出服务
2.9.1、退出要求
合同到期或其他原因都可能导致XXXXX单位退出云计算服务,或将数据和业务系统迁移到其他云计算平台上。退出云计算服务是一个复杂的过程,网络安全与信息化管理部门需要注意以下环节:
- 在签订合同时提前约定退出条件,以及退出时XXXXX单位、云服务商的责任和义务,应与云服务商协商数据和业务系统迁移出云计算平台的接口和方案;
- 在退出服务过程中,应要求云服务商完整返还XXXXX单位数据;
- 在将数据和业务系统迁移回XXXXX单位数据中心或其他云计算平台的过程中,应满足业务的可用性和持续性要求,如采取原业务系统与新部署业务系统并行运行一段时间等措施;
- 及时取消云服务商对XXXXX单位资源的物理和电子访问权限;
- 提醒云服务商在XXXXX单位退出云计算服务后仍应承担的责任和义务,如保密要求等;
- 退出云计算服务后需要确保云服务商按要求保留数据或彻底清除数据;
- 如需变更云服务商,应首先按照选择云服务商的要求,执行云服务商选择阶段的各项活动,确定新的云服务商并签署合同。完成云计算服务的迁移后再退出原云计算服务。
2.9.2、确定数据移交范围
从云计算平台迁移出的数据,不仅包括XXXXX单位移交给云服务商的数据和资料,还应包括XXXXX单位业务系统在云计算平台上运行期间产生、收集的数据以及相关文档资料,如数据文件、程序代码、说明书、技术资料、运行日志等。应制订详细的移交清单,清单内容包括:
- 数据文件。每个数据文件都应标明:文件名称、数据文件内容的描述、存储格式、文件大小、校验值、类型(敏感或公开)等。应要求云服务商提供解密方法与密钥,实现加密文件的移交;提供技术资料或转换工具,实现非通用格式文件的移交;
- 程序代码。针对XXXXX单位定制的功能或业务系统,在合同或其他协议中明确是否移交可执行程序、源代码及技术资料,可能涉及的内容包括:可执行程序、源代码、功能描述、设计文档、开发及运行环境描述、维护手册、用户使用手册等;
- 其他数据。根据事先的约定和双方协商,确定应移交的其他数据,包括XXXXX单位业务运行期间收集、统计的相关数据,如云计算服务的XXXXX单位行为习惯统计、网络流量特征等资料;
- 文档资料。XXXXX单位使用云计算服务过程中提供给云服务商的各种文档资料,及双方共同完成的涉及XXXXX单位的相关资料。
2.9.3、验证数据的完整性
网络安全与信息化管理部门应对云服务商返还的数据完整性进行验证,为完整获得数据,网络安全与信息化管理部门应采取以下措施:
- 要求云服务商根据移交数据清单完整返还XXXXX单位数据,特别注意历史数据和归档数据;
- 监督云服务商返还XXXXX单位数据的过程,并验证返还数据的有效性。对加密数据进行解密并验证;利用工具恢复专有格式数据并验证;
- 可通过业务系统验证数据的有效性和完整性,如将数据和业务系统部署在新的平台上运行验证。
2.9.4、安全删除数据
XXXXX单位退出云计算服务后,仍应要求云服务商安全处理XXXXX单位数据,承担相关的责任和义务。网络安全与信息化管理部门应采取以下措施:
- 退出服务后,要求云服务商按合同要求安全存储XXXXX单位数据一段时间;
- 通过书面授权,要求云服务商删除XXXXX单位数据及所有备份;
- 要求云服务商安全处置存放XXXXX单位数据的存储介质,涉及以下方面:
a)重用前应进行介质清理[介质清理:指删除介质上数据的过程,该过程不会破坏介质。不可清理的介质应物理销毁;
b)要求云服务商记录介质清理过程,并对过程进行监督;
c)存放敏感信息的介质清理后不能用于存放公开信息。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。