Informationsecuritytechnology-Securi（本稿完成日期：2021-12）在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上！IGB/TXXXXX—XXXX 12規范性引用文件 13術語和定義 14云計算概述 34.1云計算的主要特征 34.2云能力類型和云服務類別 34.3云部署模型 45云計算的風險管理 4 45.2云計算服務安全管理的主要角色及責任 45.3責任劃分 55.4云計算服務安全管理基本要求 55.5云計算服務生命周期 56規劃準備 6 66.2效益評估 66.3信息分類 76.4業務分類 86.5安全保護要求 96.6需求分析 106.7形成決策報告 137選擇服務商與部署 147.1云服務商安全能力要求 147.2確定云服務商 147.3合同中的安全考慮 15 168運行監管 17 17IIGB/TXXXXX—XXXX8.2運行監管的角色與責任 178.3客戶自身的運行監管 188.4對云服務商的運行監管 199退出服務 209.1退出要求 209.2確定數據移交范圍 209.3驗證數據的完整性 219.4安全刪除數據 21 A.1客戶對數據和業務系統的控制能力減弱 23A.2客戶與云服務商之間的責任難以界定 23A.3司法管轄權問題 A.4數據所有權保障面臨風險 23A.5數據保護更加困難 A.6數據殘留 A.7容易產生對云服務商的過度依賴 24 251GB/TXXXXX—XXXX信息安全技術云計算服務安全指南本文件提出了黨政機關及關鍵信息基礎設施運營者采用云計算服務的安全管理基本要求，明確了采用云計算服務的生命周期各階段的安全管理和技術措施。本文件為黨政機關及關鍵信息基礎設施運營者采用云計算服務，特別是采用社會化的云計算服務提供全生命周期的安全指導，適用于黨政機關及關鍵信息基礎設施運營者采購和使用云計算服務，也可供其他企事業單位參考。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T31168-xxxx信息安全技術云計算服務安全能力要求GB/T32399-2015信息技術云計算參考架構GB/T32400-2015信息技術云計算概覽與詞匯GB/T36325-2018信息技術云計算云服務級別協議基本要求GB/T37972-2019信息安全技術云計算服務運行監管框架3術語和定義GB/T32399-2015、GB/T32400-2015中界定的以及下列術語和定義適用于本文件。3.1云計算cloudcomputing一種通過網絡將可伸縮、彈性的共享物理和虛擬資源池以按需自助服務的方式供應和管理的模式。[來源：GB/T32400-2015，3.2.5]3.2云計算服務cloudcomputingservice通過云計算以定義的接口提供一種或多種能力。[來源：GB/T32400-2015，3.2.8]3.3參與方party一個或一組自然人或法人，不論該法人是否注冊。[來源：GB/T32399-2015，3.2.15]3.4云服務商cloudserviceprovider提供云服務的參與方。[來源：GB/T32399-2015，3.2.15]3.52GB/TXXXXX—XXXX云服務客戶cloudservicecustomer為使用云服務而處于一定業務關系中的參與方。[來源：GB/T32400-2015，3.2.11]3.6第三方評估機構ThirdPartyAssessmentOrganizations(3PAO)國家網信部門批準并授權的獨立專業評估機構。3.7云計算基礎設施cloudcomputinginfrastructure由硬件資源和資源抽象控制組件構成的支撐云計算服務的基礎設施。3.8云計算平臺cloudcomputingplatform云服務商提供的云計算基礎設施及其上的服務軟件的集合。3.9云計算環境cloudcomputingenvironment云服務商提供的云計算平臺，及客戶在云計算平臺之上部署的軟件及相關組件的集合。云服務合作者cloudservicepartner支撐或協助云服務商活動，云服務客戶活動，或者兩者共同活動的參與方。云服務安全提供商cloudservicesecurityprovider支撐或協助云服務商或云服務客戶的安全管理、安全技術和安全運維活動的參與方。云能力類型cloudcapabilitiestype根據資源使用情況對提供給云服務客戶的云服務功能進行分類。應用能力類型applicationcapabilitiestype云服務客戶能使用云服務商應用的一種云能力類型。基礎設施能力類型infrastructurecapabilitiestype云服務客戶能配置和使用計算、存儲或網絡資源的一類云能力類型。平臺能力類型platformcapabilitiestype云服務客戶能使用云服務商支持的編程語言和執行環境來部署、管理和運行客戶創建或獲取的應用的一類云能力類型。云服務類別cloudservicecategory擁有某些相同質量集合的一組云服務。3GB/TXXXXX—XXXX4云計算概述4.1云計算的主要特征云計算具有以下主要特征：a)按需自助服務。在不需或較少云服務商的人員參與情況下，客戶能根據需要獲得所需計算資源，如自主確定資源占用時間和數量等。b)泛在接入。客戶通過標準接入機制，利用計算機、移動電話、平板等各種終端通過網絡隨時隨地使用服務。c)資源池化。云服務商將資源（如：計算資源、存儲資源、網絡資源等）提供給多個客戶使用，這些物理的、虛擬的資源根據客戶的需求進行動態分配或重新分配。d)快速伸縮性?？蛻艨梢愿鶕枰焖佟㈧`活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。e)服務可計量。云計算可按照多種計量方式（如按次付費或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網絡帶寬或賬戶數等。4.2云能力類型和云服務類別云能力類型是根據資源使用情況對提供給云服務客戶的云服務功能進行的分類。有3類不同的云能力類型：應用能力類型、平臺能力類型和基礎設施能力類型。這3類能力類型有不同的關注點，即相互之間的功能交叉最小。云能力類型包括：a)應用能力類型。云服務客戶能使用云服務商應用的一種云能力類型；b)平臺能力類型。云服務客戶能使用云服務商支持的編程語言和執行環境來部署、管理和運行客戶創建或獲取的應用的一類云能力類型；c)基礎設施能力類型。云服務客戶能配置和使用計算、存儲或網絡資源的一類云能力類型。本文件只定義了3類云能力類型。這些云能力類型不應與云服務類別混淆。云服務類別是擁有某些相同質量集合的一組云服務。一種云服務類別能包含一種或多種云能力類型的能力。典型的云服務類別包括：a)通信即服務（communicationasaservice，簡稱CaaS）。為云服務客戶提供實時交互與協作能力的一種云服務類別。b)計算即服務（computeasaservice，簡稱CompaaS）。為云服務客戶部署和運行軟件提供配置和使用計算資源能力的一種云服務類別。c)數據存儲即服務（datastorageasaservice，簡稱DSaaS）。為云服務客戶提供配置和使用數據存儲及相關能力的一種云服務類別。d)基礎設施即服務（infrastructureasaservice，簡稱IaaS）。為云服務客戶提供云能力類型中的基礎設施能力類型的一種云服務類別。e)網絡即服務（networkasaservice，簡稱NaaS）。為云服務客戶提供傳輸鏈接和相關網絡能力的一種云服務類別。f)平臺即服務（platformasaservice，簡稱PaaS）。為云服務客戶提供云能力類型中的平臺能力類型的一種云服務類別。4GB/TXXXXX—XXXXg)軟件即服務（softwareasaservice，簡稱SaaS）。為云服務客戶提供云能力類型中的應用能力類型的一種云服務類別。除了上述云服務類別，還會有其他云服務類別（參見[GB/T32400-2015]附錄A）及新的云服務類別不斷涌現。云服務類別與重要性無關。4.3云部署模型云部署模型指的是根據對物理或虛擬資源的控制和共享方式組織云計算的方式。云部署模型包括：a)公有云：云服務可被任意云服務客戶使用，且資源被云服務商控制的一種云部署模型。公有云可由企業、研究機構、政府組織，或幾者聯合擁有、管理和運營。公有云在云服務商的場內。對特定的云服務客戶來說，公有云是否可用還需考慮管轄區的法規。如果參與公有云有限制的話，也非常少，因此公有云的邊界很寬。b)私有云：云服務僅被一個云服務客戶使用，且資源被該云服務客戶控制的一類云部署模型。私有云可由云服務客戶自身或第三方擁有、管理和運營。私有云可在云服務客戶的場內或場外。云服務客戶出于自身利益考慮，還可為其他參與方授權訪問。私有云的客戶只局限于某個組織，所以私有云的邊界很窄。c)社區云：云服務僅由一組特定的云服務客戶使用和共享的一種云部署模型。這組云服務客戶的需求共享，彼此相關，且資源至少由一名組內云服務客戶控制。社區云可由社區內里的一個或多個組織、第三方、或兩者聯合擁有、管理和運營。社區云可在云服務客戶的場內或場外。社區云局限于有共同關注點的社區內客戶，所以社區云的邊界相對較寬。這些共同關注點包括但不限于：使命、信息安全需求，政策、符合性考慮。d)混合云：至少包含兩種不同的云部署模型的云部署模型。組成混合云的部署模式仍然是獨立的實體，但是這些獨立的實體通過一定技術綁定起來。這些技術能實現互操作性、數據可移植性和應用可移植性?；旌显瓶捎山M織自身或第三方擁有、管理和運營。混合云可在云服務客戶的場內或場外?；旌显拼砹艘韵聢鼍埃盒枰獌煞N不同部署模式之間進行交互，且需要通過適當的技術聯系起來。5云計算的風險管理云計算作為一種計算資源利用方式，還在不斷發展之中，隨著各種新型云服務類別的不斷出現，同時也出現了一些新的信息安全問題和風險。本章提出了云計算服務安全管理的主要角色及責任，對責任劃分給出指導性建議，提出了客戶采用云計算服務應遵守的基本要求，從規劃準備、選擇云服務商及部署、運行監管、退出服務等四個階段簡要描述了客戶采購和使用云計算服務的生命周期安全管理。5.2云計算服務安全管理的主要角色及責任云計算服務安全管理的主要角色及責任如下：a)云服務商。為確?？蛻魯祿蜆I務系統安全，云服務商所提供的云計算平臺及服務應先通過安全評估，才能向客戶提供云計算服務；積極配合客戶的運行監管工作，對所提供的云計算服務進行運行監視，確保持續滿足客戶安全需求；合同關系結束時應滿足客戶數據和業務的遷移需求，確保數據安全。b)客戶。從已通過安全評估的云服務平臺中選擇適合的云服務商?？蛻粜璩袚渴鸹蜻w移到云計5GB/TXXXXX—XXXX算平臺上的數據和業務的最終安全責任；客戶應開展云計算服務的運行監管活動，根據相關規定開展信息安全監督檢查。c)云服務安全提供商。通過商務合同的方式，協助或支撐云服務商或云服務客戶開展安全管理、技術和運維，承擔約定的安全責任。d)第三方評估機構。對云服務商及其提供的云計算服務開展獨立的安全評估。5.3責任劃分云計算系統中下至相應的基礎設施，上至用戶的應用、數據，每一部分都有對應的安全要素。而由于云服務商與客戶在系統中各自具有不同的控制能力，因此安全責任需要由云服務商和客戶共同承擔。在分擔安全責任時，由于云服務商和客戶的控制范圍有所不同，因此應根據云服務類別協商確定安全責任邊界。如果部分安全措施需要由云服務安全提供商來實施，相關責任原則上由引入云服務安全提供商的一方承擔，該引入方和云服務安全提供商可以通過合同等方式約定責任。云服務商和客戶需要保證各個角色承擔責任的總和能夠覆蓋到系統的全部安全要素，避免責任無人承擔或責任承擔不明確的情況。云服務商和云服務客戶可以在服務水平協議（serviceLevelagreement，簡稱SLA）中明確雙方各自應該承擔的相應安全責任。責任劃分的內容可參考附錄B中的示例。5.4云計算服務安全管理基本要求采用云計算服務期間，客戶和云服務商應遵守以下要求：a)安全管理責任不變。信息安全管理責任不應隨服務外包而轉移，無論客戶數據和業務是位于內部信息系統還是云服務商的云計算平臺上，客戶都是信息安全的最終責任人。b)資源的所有權不變。客戶提供給云服務商的數據、設備等資源，以及云計算平臺上客戶業務系統運行過程中收集、產生、存儲的數據和文檔等都應屬客戶所有，客戶擁有這些資源的全部控制權。c)司法管轄關系不變。客戶數據和業務的司法管轄權不應因采用云計算服務而改變。除非中國法律法規有明確規定，云服務商不得依據其他國家的法律和司法要求將客戶數據及相關信息提供給他國政府及組織。d)安全管理水平不變。承載客戶數據和業務的云計算平臺應按照政府信息系統或關鍵信息基礎設施安全管理要求進行管理，為客戶提供云計算服務的云服務商應遵守政府信息系統或關鍵信息基礎設施安全管理政策及文件。e)堅持先評后用原則。云服務商應具備保障客戶數據和業務系統安全的能力，并通過安全評估?？蛻魬x擇通過評估的云服務商，并監督云服務商切實履行安全責任，落實安全管理和防護措施。5.5云計算服務生命周期5.5.1概述客戶采購和使用云計算服務的過程可分為四個階段：規劃準備、選擇服務商與部署、運行監管、退出服務，如圖1所示。6退出服務規劃準備選擇服務商與部署GB/TXXXXX—XXXX退出服務規劃準備選擇服務商與部署變更服務商變更服務商運行監管運行監管圖1云計算服務的生命周期5.5.2規劃準備在規劃準備階段，客戶應分析采用云計算服務的效益，確定自身的數據和業務類型，判定是否適合采用云計算服務；根據數據和業務的類型確定云計算服務的安全能力要求；根據云計算服務的特點進行需求分析，確定選擇云服務類別，形成決策報告。5.5.3選擇服務商與部署在選擇服務商與部署階段，客戶應根據安全需求、云計算服務的安全能力和安全評估結果選擇云服務商，與云服務商協商合同（包括服務水平協議、安全需求、保密要求等內容完成數據和業務向云計算平臺的部署或遷移。5.5.4運行監管在運行監管階段，客戶應指導監督云服務商履行合同規定的責任義務，指導督促業務系統使用者遵守政府信息系統或關鍵信息基礎設施安全管理政策及文件，共同維護數據、業務及云計算環境的安全。5.5.5退出服務在退出云計算服務時，客戶應要求云服務商履行相關責任和義務，確保退出云計算服務階段數據和業務安全，如安全返還客戶數據、徹底清除云計算平臺上的客戶數據等。需變更云服務商時，客戶應按5.5.3的要求選擇新的云服務商，重點關注云計算服務遷移過程的數據和業務安全；也應要求原云服務商履行相關責任和義務。6規劃準備附錄A對云計算面臨的安全風險進行了闡述，應基于風險分析做好規劃，根據業務和數據的特點選擇不同類型的云計算服務、不同的部署模式等。是否采用云計算服務，特別是采用社會化的云計算服務，應該綜合平衡采用云計算服務后獲得的效益、可能面臨的安全風險、可以采取的安全措施后做出決策。只有當安全風險在客戶可以承受、容忍的范圍內，或可能的安全事件有適當的控制或補救措施時方可采用云計算服務。6.2效益評估效益是采用云計算服務的最主要動因，只有在可能獲得明顯的經濟和社會效益，或初期效益不一定十分明顯，但從發展的角度看潛在效益很大。在安全風險可控的前提下，云計算服務的效益主要從以下幾個方面進行分析比較：7GB/TXXXXX—XXXXa)建設成本。傳統的自建信息系統，需要建設運行環境、采購服務器等硬件設施、定制開發或采購軟件等；采用云計算服務，初期資金投入可能包括租用網絡帶寬、客戶采用的安全控制措施、搭建場內私有云計算平臺對現有設備、信息系統的改造、利舊利用性等。b)運維成本。傳統的自建信息系統，日常運行需要考慮設備運行能耗、設備維護、升級改造、增加硬件設備、擴建機房等成本；采用云計算服務，僅需為使用的服務和資源付費。c)人力成本。傳統的自建信息系統，需要維持相應數量的專業技術人員，包括信息中心等專業機構；采用云計算服務，僅需適當數量的專業技術和管理人員。d)性能和質量。云計算服務由具備相當專業技術水準的云服務商提供，云計算平臺具有冗余措施、先進的技術和管理、完整的解決方案等特點，應分析采用云計算服務后對業務的性能和質量帶來的優勢。e)開放兼容性。采用的云計算平臺及服務應兼容主流協議及接口，便于客戶開發業務應用功能、選擇對接第三方應用。f)創新性。通過采用云計算服務，客戶可以將更多的精力放在如何提升核心業務能力、創新公眾服務上，而不是業務的技術實現和實施；可以快速部署滿足新需求的業務，并按需隨時調整。6.3信息分類6.3.1信息分類原則客戶在選擇云計算服務之前，應先明確將部署在云計算平臺上信息的類型。本文件中的信息是指黨政機關和關鍵信息基礎設施運營者，包括受黨政機關和關鍵信息基礎設施運營者委托代行其職能的機構，以及黨政機關和關鍵信息基礎設施運營者的合同單位，在履行職責過程中產生、獲取的，通過計算機等電子裝置處理、保存、傳輸的數據，相關的程序、文檔等。涉密信息的處理、保存、傳輸、利用按國家保密法規執行。本文件將非涉密政府信息分為敏感類、公開類兩種類型。6.3.2敏感類信息6.3.2.1敏感類信息的概念敏感類信息不涉及國家秘密，主要包括個人信息和重要數據，其中：a)個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人個人身份或者反映特定自然人活動情況的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、住址、通信通訊聯系方式等。b)重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。6.3.2.2敏感類信息的范圍敏感類信息包括但不限于：a)包含核設施、化學生物、國防軍工、人口健康等領域未公開的數據，大型工程活動、海洋環境以及敏感地理信息數據等；b)應該公開但正式發布前不宜泄露的信息，如規劃、統計、預算、招投標等的過程信息；c)執法過程中生成的不宜公開的記錄文檔；d)一定精度和范圍的國家地理、資源等基礎數據；e)企業的商業秘密和知識產權中不宜公開的信息；f)關鍵基礎設施、政府信息系統未公開的安全防護計劃、策略、實施等相關信息；8GB/TXXXXX—XXXXg)包含關鍵信息基礎設施的系統漏洞、安全防護、安全保護計劃等網絡安全信息；h)關鍵信息基礎設施系統架構、組成、網絡拓撲等相關系統信息；i)黨政機關（部門）內部未公開的人事規章和工作制度；j)黨政機關內部的人員晉升、獎勵、處分、能力評價等未公開的人事管理信息；k)根據國際條約、協議不宜公開的信息；l)法律法規確定的不宜公開信息；m)單位根據國家要求或本單位要求認定的敏感類信息。敏感類信息規模的限定參考其他相關文件。6.3.3公開類信息公開類信息指不涉及國家秘密且不是敏感信息的政府信息，包括但不限于：a)行政法規、規章和規范性文件，發展規劃及相關政策；b)統計信息，財政預算決算報告，行政事業性收費的項目、依據、文件；c)政府集中采購項目的目錄、標準及實施情況；d)行政許可的事項、依據、條件、數量、程序、期限以及申請行政許可需要提交的全部材料目錄及辦理流程；e)重大建設項目的批準和實施情況；f)扶貧、教育、醫療、社會保障、促進就業等方面的政策、措施及其實施情況；g)突發公共事件的應急預案、預警信息及應對情況；h)環境保護、公共衛生、安全生產、食品藥品、產品質量的監督檢查情況等；i)其他根據相關法律法規應該公開的信息。6.4業務分類6.4.1業務分類原則確定了信息類型后，還需要對承載相關信息的業務進行分類。根據業務不能正常開展時可能造成的影響范圍和程度，本文件將黨政機關和關鍵信息基礎設施運營者承載的業務劃分為一般業務、重要業務、關鍵業務等三種類型。6.4.2一般業務一般業務出現短期服務中斷或無響應不會影響黨政機關的核心任務，對公眾的日常工作與生活造成的影響范圍、程度有限。通常黨政機關、社會公眾對一般業務中斷的容忍度以天為單位衡量。6.4.3重要業務重要業務一旦受到干擾或停頓，會對政府決策和運轉、對公服務產生較大影響，在一定范圍內影響公眾的工作生活，造成財產損失，引發少數人對政府的不滿情緒。此類業務出現問題，造成的影響范圍、程度較大。滿足以下條件之一的業務可被認為是重要業務：——對業務中斷的容忍程度小于24h；——業務系統的服務對象超過10萬用戶；——信息發布網站的訪問量超過每天500萬人次；9GB/TXXXXX—XXXX——出現安全事件造成100萬元以上經濟損失；——出現問題后可能造成其他較大危害。6.4.4關鍵業務關鍵業務一旦受到干擾或停頓，將對政府決策和運轉、對公服務及關鍵信息基礎設施產生嚴重影響，威脅國家安全和人民生命財產安全，在一定程度上動搖公眾對政府的信心。滿足以下條件之一的業務可被認為是關鍵業務：——對業務中斷的容忍程度小于1h；——業務系統的服務對象超過100萬用戶；——出現安全事件造成5000萬元以上經濟損失，或危害人身安全；——出現安全事故會嚴重損害政府形象、社會秩序，或危害國家安全；——出現問題后影響單個地市級行政區30%以上人口的工作、生活；——出現問題后可能造成其他嚴重危害。6.5安全保護要求所有的客戶信息都應該得到適當的保護。對于公開類信息主要是防篡改、防丟失，對于敏感類信息應按照國家密碼相關法律法規、文件的要求進行保護，防止未經授權披露、丟失、濫用、篡改和毀損。所有的客戶業務都應得到適當保護，保證業務的安全性和持續性。本文件將云服務安全能力劃分為一般保護、增強保護和高級保護三個級別，不同類型的信息和業務對安全保護有著不同的要求，客戶應要求云服務商提供相應強度的安全保護，如圖2所示。信息類型敏感類信息公開類信息一般業務重要業務關鍵業務業務類型圖2安全保護要求對云計算服務的安全能力要求如下：a)承載公開類信息的一般業務應選擇達到一般保護能力的云服務；b)承載敏感類信息的一般業務和重要業務以及承載公開類信息的重要業務和關鍵業務，應選擇達到增強保護能力的云服務。c)承載敏感類信息的關鍵業務，宜采用私有云或社區云，應選擇達到高級保護能力的云服務。關于一般保護能力、增強保護能力和高級保護能力要求的具體指標要求，見GB/T31168-xxxx。GB/TXXXXX—XXXX6.6需求分析客戶應從以下方面對云計算服務的需求進行分析，提出各項功能、性能及安全要求。6.6.2服務類別不同云服務類別下云服務商與客戶的控制范圍不同，以最常見的SaaS、PaaS和IaaS三種云服務類別為例，如圖3所示，圖中兩側的箭頭示意了云服務商和客戶的控制范圍，具體為：a)在SaaS服務類別下，應用軟件層的安全措施由客戶和云服務商分擔，其他安全措施由云服務商實施；b)在PaaS服務類別下，軟件平臺層的安全措施由客戶和云服務商分擔?？蛻糌撠熥约洪_發和部署的應用及其運行環境的安全，其他安全措施由云服務商實；。c)在IaaS服務類別下，虛擬化計算資源層的安全措施由客戶和云服務商分擔?？蛻糌撠熥约翰渴鸬牟僮飨到y、運行環境和應用的安全。云服務商負責虛擬機監視器及底層資源的安全。圖3中的下三層由設施層、硬件層和資源抽象控制層構成。設施層和硬件層是云計算環境的物理元素，設施層主要包括采暖、通風、空調、電力和通信等，硬件層包括了所有的物理計算資源，例如：服務器、網絡（路由器、防火墻、交換機、網絡連接和接口）、存儲部件（硬盤）和其他物理計算元件。資源抽象控制層通過虛擬化或其他軟件技術實現對物理計算資源的軟件抽象，基于資源分配、訪問控制、使用監視等軟件組件實現資源的訪問控制。在所有云服務類別下，這三層均處于云服務商的完全控制下，所有安全措施由云服務商實施。圖3中的上三層由應用軟件層、軟件平臺層、虛擬化計算資源層構成云計算環境的邏輯元素。虛擬化計算資源層通過服務接口，使客戶可以訪問虛擬機、虛擬存儲、虛擬網絡等計算資源。軟件平臺層向客戶提供編譯器、函數庫、工具、中間件以及其他用于應用開發和部署的軟件工具與組件。應用軟件層向客戶提供業務系統需要的應用軟件，客戶通過客戶端或程序接口訪問這些應用軟件?？蛻艨筛鶕煌品疹悇e的特點和自身數據及業務系統的安全管理要求，結合自身的技術能力、市場及技術成熟度等因素選擇云服務類型。基礎設施能力類型平臺能力類型應用能力類型平臺能力類型應用力類能型基礎設施能力類型客戶基礎設施能力類型平臺能力類型應用能力類型平臺能力類型應用力類能型基礎設施能力類型客戶應用軟件應用軟件軟件平臺虛擬化計算資源資源抽象控制層資源抽象控制層硬件設施云服務商GB/TXXXXX—XXXX圖3基本云能力類型與控制范圍的關系6.6.3部署模式云計算有公有云、社區云和私有云三種典型部署模式，不同的部署模式下，云計算基礎設施部署的場所、客戶訪問云計算服務的網絡鏈路、是否與其他客戶共享資源等屬性有較大差異，客戶需要綜合分析部署模式對自身數據和業務的影響。不同部署模式下關注的主要問題包括：a)是否與其他客戶共享云計算平臺。公有云是云服務商面向社會提供的服務，客戶需要與其他未知客戶共享云計算平臺；社區云中的客戶群體具有共同責任、相同安全需求、相同策略等屬性，客戶與這些有共同屬性（如同一行業、同一業務需求等）的已知客戶共享資源；私有云的云計算平臺為客戶獨享，由客戶或專門委托的云服務商獨立管理和控制云計算平臺。b)對云計算平臺管理技能的要求。若采用私有云、社區云，且云計算平臺由客戶承擔管理任務，則需要客戶具備專業的技術人才，對人員技能的要求遠比公有云高。c)業務的可擴展性要求。公有云的資源由大量客戶共享，資源規模較大，客戶可以根據業務和資源使用情況隨時調整資源需求，可以充分擴展；社區云和私有云的靈活程度會受到具體的部署場所和策略的影響?？蛻魬C合考慮以上問題，選擇適合的部署模式，使安全風險可控。6.6.4功能需求的穩定性和通用性當客戶的業務功能需求不斷變化時，云服務商需要不斷開發、測試和部署新的組件。云計算的多客戶共享資源特點使得云計算平臺基于客戶的功能定制或變更較為困難。因此，為了提高應用規模和效益，云服務商通常愿意提供通用性較好、功能相對穩定和成熟的服務。通用的功能需求有助于客戶參考成熟的應用案例，包括參考其部署、運行監管、評估等最佳實踐，可提高效率并降低安全風險。另外，業務功能的通用性利于實現規?；鶐淼牡统杀拘б??？蛻魬C合考慮服務類別的穩定性和通用性以及服務類別之上客戶部署的靈活性和可控性，將功能需求不經常發生變化的業務部署或遷移到云計算平臺，還可考慮是否已有基于所選服務類型之上的自主GB/TXXXXX—XXXX部署的成功應用案例。6.6.5資源的動態需求特點有些業務具有臨時、周期性特點，如公務員招考等業務系統，可能會出現訪問和請求的突發高峰，要求可根據訪問需求動態分配資源。此類業務采用云計算服務，可以滿足動態、靈活的資源需求，且客戶只需為業務系統所占用的資源支付使用費用?？蛻魬獌炏葘Y源有動態、周期變化需求的業務部署或遷移到云計算平臺，可在滿足業務性能需求的前提下節省資金。時延是指云計算環境處理某個請求的時間延遲，包括客戶請求消息傳輸到云計算環境和結果回傳時間，以及云計算環境的處理時間。不同類型的應用對云計算服務的時延要求差異明顯，例如，電子郵件通常容許出現短暫的服務中斷和較大的網絡時延，但自動化控制與實時應用一般都對時延要求較高?？蛻魬槍I務系統對響應速度方面的要求做詳盡分析，確定業務本身對時延的容忍度，以及可能采取的補救措施等。在將數據和業務部署或遷移到云計算平臺前，應考慮響應時間、海量數據傳輸性能等指標要求。6.6.7業務連續性云計算服務是否會中斷、是否能持續訪問依賴于多方面因素，包括網絡、云計算平臺以及云服務商網絡依賴。云計算服務依賴于互聯網等網絡，客戶通過持續可用的網絡連接來獲取服務。網絡依賴意味著每個應用都是網絡應用，從客戶到云計算平臺的網絡復雜度通常高于客戶內部局域網。平臺依賴。盡管專業的云計算平臺具有較高的可靠性，但出于人為因素（如惡意攻擊或管理員的失誤）、自然災害（如洪水、臺風、地震等）的原因，云計算平臺故障與服務中斷不可能完全避免。云服務商依賴。采用自有系統時，即使軟硬件供應商暫停技術支持、售后服務或停業，客戶可能不會立即受到影響，可以繼續使用其產品。對于社會化云計算服務而言，客戶高度依賴云服務商提供的服務，云服務商倒閉、市場變化等主觀或客觀原因所造成的中斷或停止，會立即導致客戶所需服務的中斷或停止。在采用云計算服務前，應對云計算服務的可靠性、持續性需求進行充分評估，應關注中斷頻率與預期恢復時間?？煽紤]如下措施：a)客戶與云計算平臺之間的網絡鏈路采用多個網絡運營商的優質鏈路，做到網絡鏈接冗余；b)確定云服務商是否有異地數據中心實現數據與業務系統的異地備份，確保因人為因素或自然災害導致云計算平臺故障或服務中斷時，也能對數據進行有效保護和恢復；c)對云服務商的經營狀態進行定期檢查，發現異常及時處理；6.6.8可移植性與互操作性可移植性。移植是指將數據和業務系統從一個云服務商遷移到另一個云服務商的云計算平臺，或遷移回客戶的數據中心?？梢浦残匀Q于標準化的接口與數據格式?？梢浦残缘膶崿F難度與采用的云計算服務類別有關，通常從IaaS、PaaS到SaaS可移植性的難度逐漸增加?；ゲ僮餍?。部署在云計算平臺上的業務系統可能需要與其他系統進行數據交互，不同云計算平臺間及與自有信息系統之間的數據交換與訪問目前還較為困難。同時，云服務商為了商業競爭的目的，對可移植性和互操作性支持一般不夠積極。GB/TXXXXX—XXXX客戶應制定將數據和業務系統從某一云計算平臺遷移到其他云計算平臺或自有數據中心的計劃，充分考慮云計算服務與其他已有或將來的業務系統集成需求。6.6.9數據的存儲位置云服務商在數據中心選址時，為了備份恢復，提高響應速度，節省建造、能源、雇員等成本，可能會將數據中心分布在不同的地區，甚至不同的國家。云計算服務的運行管理對客戶往往缺少透明性，客戶難以掌握數據和副本在存儲設備和數據中心的具體位置。根據國家的有關規定，存儲、處理客戶數據的數據中心和云計算基礎設施應當設在境內?？蛻粼诖_定采用云計算服務時，應禁止云服務商在境外存儲、處理客戶數據，不得由于客戶數據存儲位置的改變而改變其司法管轄權。因客戶需求需要將數據中心和云計算基礎設施設在境外的情況，參照國家文件、政策相關內容執行。傳統計算模式中，用戶直接控制、管理自己的數據和業務系統。在云計算平臺中，客戶的數據及運行過程中生成、獲取的數據都在云服務商的直接控制下，客戶沒有直接的控制權。客戶需要通過監管了解和掌握自身數據和業務系統在云計算平臺上的狀態，了解云計算平臺是否提供了足夠的安全防護措施滿足安全需求?？蛻魬ㄟ^合同明確云服務商的責任和義務，強調客戶對數據和業務系統運行狀態的知情權；要求云計算平臺提供必要的監管接口和日志查詢功能，建立有效的評估、檢查機制，實現對云計算服務的有效監管。6.7形成決策報告完成對信息和業務的綜合分析后，需要形成采用云計算服務的決策報告，經本單位最高領導批準后成為指導采用云計算服務的重要依據。報告應包括但不限于以下內容：a)背景描述。描述擬采用云計算服務的信息和業務；b)效益分析。從場地、人員、設備、軟件、運行管理、維護升級、能耗等方面，對采用本地應用與云計算服務所需費用進行綜合分析；c)云服務類別、部署模式選擇。分析客戶與云服務商的安全措施實施邊界和管理邊界；d)風險分析。分析數據和業務部署到云計算環境后可能遇到的安全威脅，提出應對措施；e)功能需求分析。分析不同模式下的資源需求，數據的備份與恢復能力，備份數據的存儲位置，數據的傳輸方式和網絡帶寬要求，擬部署到云計算平臺上的業務與其他系統之間的數據交互需求等；f)性能需求分析。主要分析可用性、可靠性、恢復能力、事務響應時間、吞吐率等指標；g)安全要求?；趯蕚洳渴鸬皆朴嬎闫脚_的信息和業務的分類結果，確定云計算服務的安全能力要求；h)業務持續性要求。將業務系統遷移到云計算平臺后，原有系統可與遷移到云計算平臺的業務系統并行運行一段時間；i)退出云計算服務或變更云服務商的初步方案；j)對客戶相關人員進行安全意識、技術和管理培訓的方案；k)本單位負責采用云計算服務的領導、工作機構及其責任；l)采購和使用云計算服務過程中應該考慮的其他重要事項。GB/TXXXXX—XXXX7選擇服務商與部署7.1云服務商安全能力要求為客戶提供云計算服務的云服務商應具備以下11個方面的安全能力；a)系統開發與供應鏈安全b)系統與通信保護c)訪問控制d)數據保護e)配置管理f)維護g)應急響應與災備h)審計i)風險評估與持續監管j)安全組織與人員k)物理與環境保護以上安全能力的具體要求參見GB/T31168-xxxx。7.2確定云服務商7.2.1選擇云服務商為保證數據和業務安全，客戶應選擇通過安全評估的云服務商。選擇云服務商應考慮但不限于以下方面的因素：a)云服務類別能否滿足需求；b)部署模式能否滿足需求；c)云計算服務的安全能力（一般保護/增強保護/高級保護）能否滿足需求；d)定制開發能力能否滿足需求；e)云服務商對運行監管的接受程度，能否提供運行監管接口；f)云計算平臺的可擴展性、可用性、可移植性、互操作性、功能、容量、性能等能否滿足需求；g)云服務商能否滿足5.4c)的要求；h)數據的存儲位置，包括數據傳輸的路徑；i)災難恢復能力能否滿足需求；j)資源占用、帶寬租用、監管、遷移或退出服務、培訓等費用的計費方式和標準；k)出現安全事件并造成損失時，云服務商的補償能力與責任；l)云服務商是否配合對其雇員進行背景調查。7.2.2人員背景調查客戶根據信息和業務的敏感程度，確定是否需要對訪問數據和業務的云服務商雇員進行背景調查。GB/TXXXXX—XXXX7.3合同中的安全考慮合同是明確云服務商與客戶間責任和義務的基本手段。有效的合同是安全、持續使用云計算服務的基礎，應全面、明確地制定合同的各項條款，突出考慮信息安全問題。7.3.2云服務商的責任和義務合同應明確云服務商需承擔以下責任和義務：a)承載客戶數據和業務的云計算平臺應按照政府信息系統和關鍵信息基礎設施安全管理要求進行管理，為客戶提供云計算服務的云服務商應遵守政府信息系統和關鍵信息基礎設施安全管理政策及文件；b)客戶提供給云服務商的數據、設備等資源，以及云計算平臺上客戶業務運行過程中收集、產生、存儲的數據和文檔等都屬客戶所有，云服務商應保證客戶對這些資源的訪問、利用、支配等權利；c)云服務商不得依據其他國家的法律和司法要求將客戶數據及相關信息提供給他國政府及組織，數據出境應遵循國家相關法律法規的要求；d)未經客戶授權，不得訪問、修改、披露、利用、轉讓、銷毀客戶數據；在服務合同終止時，應將數據、文檔等歸還給客戶，并按要求徹底清除數據。如果客戶有明確的留存要求，應按要求留存客戶數據；e)采取有效管理和技術措施確保客戶數據和業務系統的保密性、完整性和可用性；f)依法或依合同接受客戶的安全監管；g)當發生安全事件并造成損失時，按照雙方的約定承擔相應責任；h)不以持有客戶數據相要挾，配合做好客戶數據和業務的遷移或退出；i)發生糾紛時，在雙方約定期限內仍應保證客戶數據安全；j)法律法規明確或雙方約定的其他責任和義務。7.3.3服務水平協議服務水平協議（SLA）約定云服務商向客戶提供的云計算服務的各項具體技術和管理指標，是合同的重要組成部分。客戶應與云服務商協商服務水平協議，并作為合同附件。服務水平協議應與服務需求對應，針對需求分析中給出的范圍或指標，在服務水平協議中要給出明確參數。服務水平協議中需對涉及到的術語、指標等明確定義，防止因二義性或理解差異造成違約糾紛或客戶損失。關于服務水平協議基本要求的具體指標，見GB/T36325-2018。7.3.4保密協議可訪問客戶信息或掌握客戶業務運行信息的云服務商應與客戶簽訂保密協議；能夠接觸客戶信息或掌握客戶業務運行信息的云服務商雇員，應簽訂保密協議，并作為合同附件。保密協議應包括：a)遵守相關法律法規、規章制度和協議，在客戶授權的前提下合理使用客戶信息，不得以任何手段獲取、使用未經授權的客戶信息；b)未經授權，不得在工作職責授權范圍以外訪問、使用、分享客戶信息；GB/TXXXXX—XXXXc)未經授權，不得泄露、披露、轉讓以下信息：1)技術信息：同客戶業務相關的程序、代碼、流程、方法、文檔、數據等內容；2)業務信息：同客戶業務相關的人員、財務、策略、計劃、資源消耗數量、通信流量大小等業務信息；3)安全信息：包括賬號、口令、密鑰、授權等用于對網絡、系統、進程等進行訪問的身份與權限數據，還包括對正當履行自身工作職責所需要的重要、適當和必要的信息；d)第三方要求披露c)中信息或客戶敏感信息時，不得響應，并立刻報告；e)對違反或可能導致違反協議、規定、規程、策略、法律的活動或實踐，一經發現，應立即報告；f)合同結束后，云服務商應返還c)中信息和客戶數據，明確返還的具體要求、內容；g)明確保密協議的有效期。7.3.5合同的信息安全相關內容客戶在與云服務商簽訂合同時，應該全面考慮采用云計算服務可能面臨的安全風險，并通過合同對管理、技術、人員等進行約定，要求云服務商為客戶提供安全、可靠的服務。合同至少應包括以下信息安全相關內容：a)云服務商的責任和義務，包括但不限于7.3.2的全部內容。若有其他方參與，應明確其他方的責任和義務；b)云服務商應遵從的技術和管理文件；c)服務水平協議，明確客戶特殊的性能需求、安全需求等；d)保密條款，包括確定可接觸客戶信息特別是敏感信息的人員；e)客戶保護云服務商知識產權和商業秘密的責任和義務；f)合同終止的條件及合同終止后云服務商應履行的責任和義務；g)若云計算平臺中的業務系統與客戶其他業務系統之間需要數據交互，約定交互方式和接口；h)云計算安全服務的計費方式、標準，客戶的支付方式等；i)違約行為的補償措施；j)云計算服務部署、運行、應急處理、退出等關鍵時期相關的計劃，這些計劃可作為合同附件，涉及到的相關附件包括但不限于：1)云計算服務部署方案，確定階段性成果及時間要求；2)運行監管計劃，明確客戶的運行監管要求；3)應急響應計劃、災難恢復計劃，明確處理安全事件、重大災難事件等的流程、措施、人員4)退出服務方案，明確退出云計算服務時客戶數據和業務的遷移、退出方案；5)培訓計劃，確定云服務商對客戶的培訓方式、培訓內容、人員及時間；k)其他應包括的信息安全相關內容。7.4部署為確保云計算服務的部署工作順利開展，客戶應提前與云服務商協商制定云計算服務部署方案，該方案可作為合同附件。如果涉及將正在運行的業務系統遷移到云計算平臺，客戶還應考慮遷移過程中的數據安全及業務持續性要求。7.4.2部署方案GB/TXXXXX—XXXX云計算服務部署方案至少應包括以下內容：a)客戶和云服務商雙方的部署負責人和聯系人，參與部署的人員及其職責；b)部署的實施進度計劃表；c)相關人員的培訓計劃；d)部署階段的風險分析。部署階段的風險可能包括：技術人員誤操作導致的數據丟失；業務系統遷移失敗無法回退到初始狀態；業務系統遷移過程中的業務中斷；云服務商在部署過程中獲得了額外的訪問客戶數據和資源的權限等；e)部署和回退策略。為降低部署階段的安全風險，客戶應制定數據和業務系統的備份措施、業務系統遷移過程中的業務持續性措施等，制定部署失敗的回退策略，避免由于部署失敗導致客戶數據的丟失和泄漏。7.4.3投入運行客戶組織技術力量或委托第三方評估機構對云計算服務的功能、性能和安全性進行測試，各項指標均滿足要求后方可投入正式運行。客戶數據和業務系統遷移后，原有業務系統應與遷移到云計算平臺上的業務系統并行運行一段時間，以確保業務的持續性。云計算服務投入運行后，應按第8章的要求加強使用過程中的運行監管，確保客戶能持續獲得安全、可靠的云計算服務。8運行監管在采用云計算服務時，雖然客戶將部分控制和管理任務轉移給云服務商，但最終安全責任還是由客戶自身承擔?？蛻魬訌妼υ品丈痰倪\行監管，同時對自身的云計算服務使用、管理和技術措施進行監管。GB/T37972-2019面向云服務客戶、云服務商和運行監管方，提出了運行監管框架、過程及方式，為云服務商和運行監管方開展云計算服務運行監管活動提供指導。運行監管的主要目標是確保：a)合同規定的責任義務和相關政策規定得到落實，技術文件、安全管理制度得到有效實施；b)服務質量達到合同要求；c)重大變更時客戶數據和業務的安全；d)及時有效地響應安全事件。8.2運行監管的角色與責任客戶要按照合同、規章制度和文件加強對云服務商和自身的運行監管，云服務商、第三方評估機構應積極參與和配合。客戶、云服務商應明確負責運行監管的責任人和聯系方式。對云服務安全提供商的運行監管責任由引入方承擔。8.2.2客戶的監管責任客戶在運行監管活動中的責任如下：a)監督云服務商嚴格履行合同規定的各項責任和義務，自覺遵守有關主管部門信息安全的規章制GB/TXXXXX—XXXX度和文件；b)協助云服務商處理重大信息安全事件；c)按照政府信息系統安全檢查要求，對云服務商的云計算平臺開展年度安全檢查；d)在云服務商的支持配合下，對以下方面進行監管：1)服務運行狀態；2)性能指標，如資源使用情況；3)特殊安全需求；4)云計算平臺提供的監視技術和接口；5)其他必要的監管活動；e)加強對云計算服務和業務使用者的信息安全教育和監管；f)對自身負責的云計算環境及客戶端的安全措施進行監管；g)評估自身數據和業務安全級別變更產生的安全風險并處置。客戶根據運行監管過程中獲得的相關材料進行風險評估（客戶可以根據自身情況確定是否委托第三方評估機構若發現問題則要求云服務商進行整改。若評估結果表明云服務商存在嚴重問題，不能滿足客戶需求，客戶可以選擇退出服務或變更云服務商。8.2.3云服務商的責任云服務商在運行監管中的責任如下：a)嚴格履行合同規定的責任和義務，遵守政府信息系統安全管理政策及文件；b)開展周期性的風險評估和監測，保證安全能力持續符合GB/T31168-xxxx，包括：監視非授權的遠程連接，持續監視賬號管理、策略改變、特權功能、系統事件等活動，監視與其他信息系統的數據交互等；c)按照合同要求或雙方的約定，向客戶提供相關的接口和材料，配合客戶的監管活動；d)云計算平臺出現重大變更后，及時向客戶報告情況，并委托第三方評估機構進行安全評估；e)出現重大信息安全事件時，及時向客戶報告事件及處置情況；f)持續開展對雇員的信息安全教育，監督雇員遵守相關制度；云服務商應按客戶要求執行運行監視活動，提供運行監視材料和接口；應按要求提交年度運行報告、重大變更申請和安全事件報告等相關材料；應按客戶要求接受第三方評估機構的測評，并及時開展整改工作。8.3客戶自身的運行監管客戶應將云計算服務納入其信息安全管理工作內容，加強云計算服務使用過程中對自身的運行監管，主要涉及對云計算服務及業務系統使用者的違規及違約情況、自身負責的安全措施實施情況的監管。8.3.2對違規及違約情況的監管客戶應對云計算服務及業務系統使用者進行監管，要求其遵守國家有關信息安全的法律法規、文件及合同要求：a)不得向云計算平臺和相關系統傳送惡意程序、垃圾數據，以及其他可能影響云計算平臺正常運行的代碼；b)不得利用云計算平臺實施網絡攻擊；GB/TXXXXX—XXXXc)不得對云計算平臺進行網絡攻擊，竊取或篡改數據資料；d)不得利用云計算平臺可能存在的技術缺陷或漏洞破壞云服務商和客戶的權益；e)不得利用云計算平臺制作、復制、發布、傳播法律法規禁止的信息8.3.3對安全措施的監管客戶應對其負責的云計算環境及客戶端的安全措施進行監管，確保安全措施已實施并正常運行，應監管的安全措施包括但不限于：a)監管客戶賬號，包括管理員賬號和一般用戶賬號，發現任何非法使用客戶賬號的情況，應在權限范圍內處置，必要時通知云服務商；b)監管客戶端的安全防護措施，如惡意代碼防護、瀏覽器版本及插件更新、智能移動終端安全加c)監管客戶在不同云能力類型環境中的相應安全措施；d)由客戶或委托第三方評估機構對客戶負責實施的安全措施進行安全測評和檢查。e)監管客戶在遷移前后的安全措施，包括應用層、傳輸層、網絡層、物理層面等的安全防護措施。8.4對云服務商的運行監管8.4.1運行狀態監管客戶通過運行狀態監管了解和掌握云服務商及其提供的云計算服務的狀態，運行監管內容包括：a)安全事件響應；b)重大變更處理；c)整改記錄；d)信息安全策略更新；e)應急響應計劃更新；f)應急響應演練；g)云服務商委托第三方評估機構的測評。8.4.2重大變更監管客戶或委托第三方評估機構評估云計算平臺中重大變更可能帶來的風險，并根據評估結果確定需要進一步采取的措施，包括退出云計算服務。重大變更包括但不限于：a)鑒別（包括身份鑒別和數據源鑒別）和訪問控制措施的變更；b)數據存儲實現方法的變更；c)云計算平臺中軟件代碼的更新；d)備份機制和流程的變更；e)變更已有網絡連接或新建網絡連接；f)安全措施的更改與撤除；g)已部署軟硬件產品的替換；h)云計算服務分包商的變更，例如PaaS、SaaS服務商更換IaaS服務商。i)云服務安全級別的變更；j)使用新的加密模塊或服務，或對現有模塊/服務的更改。k)云系統范圍的更改，包括但不限于：操作系統升級、中間件變更、移除系統組件或提供的服務GB/TXXXXX—XXXXl)使用新的數據中心或遷移到新的設備中；m)云服務所有權的變化；n)云服務商分析得出結論認為變更將對客戶業務系統的安全狀態產生不利影響，則必須將其視為重大變更。8.4.3安全事件監管在運行監管活動中，客戶、云服務商的任何一方發現安全事件，都應及時通知對方，云服務商應及時對安全事件進行處置。安全事件包括但不限于：a)非授權訪問事件，如對云計算環境下的業務系統、數據或其他計算資源進行非授權邏輯或物理訪問等；b)拒絕服務攻擊事件；c)惡意代碼感染，如云計算環境被病毒、蠕蟲、特洛伊木馬等惡意代碼感染；d)客戶違反云計算服務的使用策略，例如發送垃圾郵件、濫用資源影響其他云租戶等。e)數據因云服務故障而損壞或丟失。9退出服務9.1退出要求合同或云服務商服務承諾等書面文件到期或其他原因都可能導致客戶退出云計算服務，或將數據和業務系統遷移到其他云計算平臺上。退出云計算服務是一個復雜的過程，客戶需要注意以下環節：a)在簽訂合同或云服務商服務承諾等書面文件時提前約定退出條件，以及退出時客戶、云服務商的責任和義務，應與云服務商協商數據和業務系統遷移出云計算平臺的接口和方案；b)在退出服務過程中，云服務商應返還合同或服務承諾等書面文件所訂明的可遷出的客戶數據；c)在將數據和業務系統遷移回客戶數據中心或其他云計算平臺的過程中，應滿足業務的可用性和持續性要求，如采取原業務系統與新部署業務系統并行運行一段時間等措施；d)及時取消云服務商對客戶資源的物理和電子訪問權限；e)提醒云服務商在客戶退出云計算服務后仍應承擔的責任和義務，如保密要求等；f)退出云計算服務后需要確保云服務商按要求保留數據或徹底清除數據；g)如需變更云服務商，應首先按照選擇云服務商的要求，執行云服務商選擇階段的各項活動，確定新的云服務商并簽署合同或云服務商服務承諾等書面文件。完成云計算服務的遷移后再退出原云計算服務。9.2確定數據移交范圍數據遷移應遵循的原則：a)優先原則：依據“重點防護，分步遷移”的思想，對關鍵業務，實施重點保護，最后進行遷移；對重要業務，保護適度減弱；對一般業務，可作為最先遷移業務；b)實用性原則：充分考慮應用業務的特殊性，把滿足用戶需求作為重要設計依據；c)可擴展性和維護性原則：為適應將來的發展，系統應具有良好的可擴展性和可維護性，部署便利、使用簡便、維護集中，并可以實現服務和應用的靈活擴展；d)標準化原則：設計應嚴格執行國家有關行業文件、國家相關部門的強制文件等，保證系統質量，GB/TXXXXX—XXXX提供完整、準確、詳細的遷移文檔；e)縱深防御原則：應采用多級縱深防御保護原則，采用多種安全手段、多方面、多角度來實現業務系統的遷移。9.2.2移交范圍從云計算平臺遷移出的數據，不僅包括客戶移交給云服務商的數據和資料，還應包括客戶業務系統在云計算平臺上運行期間產生、收集的數據以及相關文檔資料，如數據文件、程序代碼、說明書、技術資料、運行日志等。應制訂詳細的移交清單，清單內容包括但不限于：a)數據文件。每個數據文件都應標明：文件名稱、數據文件內容的描述、存儲格式、文件大小、校驗值、類型（敏感或公開）等。應要求云服務商提供解密方法與密鑰，實現加密文件的移交；提供技術資料或轉換工具，實現非通用格式文件的移交；b)程序代碼。針對客戶定制的功能或業務系統，在合同或云服務商承諾等書面文件明確是否移交可執行程序、源代碼及技術資料，可能涉及的內容包括：可執行程序、源代碼、功能描述、設計文檔、開發及運行環境描述、維護手冊、用戶使用手冊等；c)其他數據。根據事先的約定和雙方協商，確定應移交的其他數據，包括客戶業務運行期間收集、統計的相關數據，如云計算服務的客戶行為習慣統計、網絡流量特征等資料；d)文檔資料?？蛻羰褂迷朴嬎惴者^程中提供給云服務商的各種文檔資料，及雙方共同完成的涉及客戶的相關資料。9.3驗證數據的完整性客戶應對云服務商返還的數據完整性進行驗證，為完整獲得數據，客戶應采取以下措施：a)要求云服務商根據移交數據清單完整返還客戶數據，特別注意歷史數據和歸檔數據；b)監督云服務商返還客戶數據的過程，并驗證返還數據的有效性。對加密數據進行解密并驗證；利用工具恢復專有格式數據并驗證；c)可通過業務系統驗證數據的有效性和完整性，如將數據和業務系統部署在新的平臺上運行驗證。9.4安全刪除數據客戶退出云計算服務后，仍應要求云服務商安全處理客戶數據，承擔相關的責任和義務。客戶應采取以下措施：a)退出服務后，要求云服務商按合同或承諾等書面文件要求安全存儲客戶數據一段時間；b)通過書面授權，要求云服務商刪除客戶數據及所有備份；c)要求云服務商安全處置存放客戶數據的存儲介質，涉及以下方面：1)重用前應進行介質清理，不可清理的介質應物理銷毀；2)要求云服務商記錄介質清理過程，并對過程進行監督；GB/TXXXXX—XXXXGB/TXXXXX—XXXX云計算安全風險A.1客戶對數據和業務系統的控制能力減弱傳統模式下，客戶的數據和業務系統都位于客戶的數據中心，在客戶的直接管理和控制范圍。在云計算環境中，客戶將自己的數據和業務系統遷移到云計算平臺，技術上需與云服務商分擔對這些數據和業務的直接控制能力?？蛻魯祿约霸诤罄m運行過程中生成、獲取的數據都處于云服務商的直接控制范圍，云服務商具有超范圍訪問、利用或操控客戶數據的能力?？蛻魧祿蜆I務系統遷移到云計算平臺后，其數據和業務系統安全性也需依賴于云服務商及其所采取的安全措施。若缺少相關必要的監管措施，將導致客戶難以了解和掌握云服務商安全措施的實施情況和運行狀態，難以對這些安全措施進行有效監督和管理，不能有效監管云服務商的內部人員對客戶數據的非授權訪問和使用，增加了客戶數據和業務的風險。A.2客戶與云服務商之間的責任難以界定傳統模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數據安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規定。不同的云能力類型和部署模式、云計算環境的復雜性也增加了界定云服務商與客戶之間責任的難度。云服務商可能還會采購、使用其他云服務商的服務，如提供應用能力類型服務的云服務商可能將其服務建立在其他云服務商的平臺能力類型或基礎設施能力類型服務之上，這種情況導致了責任更加難以界定。A.3司法管轄權問題在云計算環境里，依據法律、法規或合同，客戶的數據可能存儲在境外數據中心，改變了數據和業務的司法管轄關系。A.4數據所有權保障面臨風險客戶將數據存放在云計算平臺上，有時需要云服務商依法或依合同的配合才能將數據安全遷出。在服務終止或發生糾紛時，云服務商還可能違反法律、法規或合同的約定，以刪除或不歸還客戶數據為要挾，損害客戶對數據的所有權和支配權。云服務商通過對客戶的資源消耗、通訊流量、繳費等數據的收集統計，可以獲取客戶的大量相關信息，對這些信息的歸屬往往沒有明確規定，容易引起糾紛。A.5數據保護更加困難云計算平臺采用虛擬化等技術實現多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權數據訪問風險突出。云服務商可能會使用其他云服務商的服務，使用第三方的功能、性能組件，使云計算平臺結構復雜且動態變化。隨著復雜性的增加，云計算平臺實施有效的數據保護措施更加困難，客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。GB/TXXXXX—XXXXA.6數據殘留存儲客戶數據的存儲介質由云服務商擁有，客戶不能直接管理和控制存儲介質。當客戶退出云計算服務時，云服務商應該完全刪除客戶的數據，包括備份數據和運行過程中產生的客戶相關數據。目前，還缺乏有效的機制、文件或