云计算系统信息安全等级保护
定级、备案及测评工作规范
第一条 为规范云计算平台及云上租户系统信息安全等级保护定级及测评工作,根据《网络安全法》、《等级保护管理办法》、公安行标《信息安全技术网络安全等级保护定级指南》(报批稿)(以下简称定级指南)、《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》(报批稿)(以下简称安全通用要求)和公安行标《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(报批稿)[张振峰1] (以下简称云计算安全扩展要求),制定本规范。
第二条 云服务方和云租户作为云计算系统(含云计算平台、云租户业务系统)的责任主体,应按照网络安全等级保护制度开展定级、备案及测评工作。
第三条 云计算平台、系统信息安全等级保护定级工作包括:
第四条 云计算系统(含云计算平台、云租户业务系统)安全等级保护备案地为:
第五条 云计算平台的安全等级测评工作应选择具有合格资质的信息安全等级保护测评机构进行测评。
云计算平台等级测评分类分级方法略。
第六条第三方信息安全等级保护测评机构应依据《安全通用要求》和《云计算安全扩展要求》相应等级安全要求对云计算平台及云上租户信息系统进行测评。
第七条 在测评云计算平台时,测评机构首先依据《安全通用要求》对云计算平台上的定级系统进行测评,将《安全通用要求》中针对云租户及云租户业务系统提出的要求做不适用处理。测评内容包括:
(一)网络和通信安全测评:测评对象包括但不限于物理网络及云服务方负责运维的虚拟网络;每个物理网络和虚拟网络对应一个网络全局。
(二)设备和计算安全测评。测评对象包括但不限于物理机、宿主机和虚拟机的操作系统;数据库应包括云服务方拥有管理员权限的数据库管理系统。
(三)应用安全测评:测评对象应包括但不限于构成云计算平台的各软件系统。
(四)数据安全测评:测评对象包括但不限于云计算平台账户数据、云计算平台管理数据及云计算平台审计数据等。
(五)物理安全测评:测评对象为云计算平台所在物理机房。
(六)管理测评:测评对象为云服务方管理架构内的制度、人员,建设和运维流程、记录文档等。
第八条 在测评云计算平台时,测评机构还应依据《云计算安全扩展要求》将整个云计算平台作为一个全局对象进行测评,测评时将针对云租户及云租户业务系统提出的要求做不适用处理。
第九条云服务方应将云计算平台的等级测评结论提供给云租户使用,包括备案编号、云计算平台等级、结论、综合得分。
第十条 云租户作为云上业务系统的责任主体,负责选择具有合格资质的信息安全等级保护测评机构从租户端对业务系统开展信息安全等级测评工作,云租户仅需获取云计算平台的等级测评结论(包括等级、备案编号、综合得分)。
第十一条 信息安全等级测评机构在对云租户业务系统开展测评时应先查验云服务方侧云计算平台的等级备案证书和等级测评结论,检查等级测评结论是否为基本符合或符合,测评报告是否在有效期内,检查云计算平台的综合得分。
第十二条 在测评云租户业务系统时,测评机构首先依据《安全通用要求》对云租户业务系统进行测评,将《安全通用要求》中针对云服务方及云计算平台提出的要求做不适用处理。如云租户业务系统采用混合部署模式(一部分上云,另一部分未上云),未上云部分测评内容与传统系统测评一致,已上云部分测评内容包括:
(一)网络和通信安全测评:测评对象包括但不限于云租户负责运维的虚拟网络、虚拟防火墙或安全组、网络安全防护系统/设备;每个虚拟网络对应一个网络全局。
(二)主机安全测评:测评对象包括但不限于虚拟机操作系统、云租户业务系统的数据库实例或云租户拥有管理员权限的数据库管理系统。
(三)应用安全测评:测评对象应包括但不限于云租户业务系统上部署的各软件系统、中间件等。
(四)数据安全测评:测评对象包括但不限于云租户业务系统上的账户数据、业务数据、审计数据等。
(五)物理安全测评:略。
(六)管理测评:测评对象为云租户管理架构内的制度、人员等。
第十三条 在测评云租户业务系统时,测评机构还应依据《云计算安全扩展要求》将整个云作为一个全局对象,对云租户业务系进行测评。测评时将针对云服务方及云计算平台提出的要求做不适用处理。
第十四条 云租户业务系统的初始综合得分( )按照《等级测评报告模板》计算方法进行计算,云租户业务系统的安全保护等级的最终综合得分( )为:
其中 为云计算平台上,直接承载云租户业务系统的那个定级系统最终得分, 为《安全通用要求》与《云计算安全扩展要求》总测评项数, 为安全责任由云平台承担而产生的不适用项数。
第十五条 云租户业务系统部署在多种不同服务模式服务商提供的服务平台上,根据《云计算安全扩展要求》的责任分担模型,云租户侧信息系统等级测评仅与其直接形成服务关系的服务商(服务平台)相关。
[张振峰1]具体依据国标还视行标视相关标准推进情况定。