ICS35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T31167—2023 代替GB/T31167—2014 信息安全技术 云计算服务安全指南 Information security technologySecurity guidance for cloud computing services 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 31167—2023 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 缩略语 云计算服务安全管理 5 5.1 概述 5.2 采用云计算服务的安全管理责任 5.3 云计算服务安全管理基本原则 5.4 云计算服务生命周期安全管理 规划准备 6 6.1 概述 6.2 数据分类 6.3 业务分类 6.4 安全能力级别 6.5 需求分析 6.6 形成决策报告 选择云服务商与部署 10 7.1 云服务商安全能力要求 10 7.2 选择云服务商 7.3 合同中的安全考虑 7.4 部署 8 运行监管 8.1 概述 13 8.2 云服务商和客户运行监管的角色与责任 L3 8.3 客户自身的运行监管 8.4 对云服务商的运行监管 15 退出服务 9 16 9.1 退出要求 16 9.2 确定数据移交范围· 16 9.3 验证数据的完整性 17 9.4 安全删除数据 附录A（资料性） 安全责任划分示例 18 附录B（资料性） 云计算安全风险 21 参考文献 23 1 GB/T31167—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T31167—2014《信息安全技术云计算服务安全指南》，与GB/T31167—2014相 比，除结构调整和编辑性改动外，主要技术变化如下： 更改了适用范围，由“政府部门”更改为“客户”（见第1章，见2014年版的第1章）； —增加了对GB/T32400—2015（见第3章）、GB/T36325—2018（见7.3.3）、GB/T37972—2019 （见8.1)的规范性引用； 增加并更改了部分术语（见第3章，2014年版的第3章）； 增加了“缩略语”一章（见第4章）； 删除了“云计算的概述”（见2014年版第4章）； 一增加了“云能力类型”和“云服务类别”的引用（全文）； 将2014年版中的"5.2云计算安全风险”作为资料性附录（见附录B)； 将2014年版5.3内容作为5.2.1角色及职责”章节内容，并增加“云服务安全提供商”作为云 计算服务安全管理的新角色（见5.2.1）； 增加了安全责任划分”的指导和示例（见5.2.2和附录A）； 将“审查”更改为“评估”，与相关文件统一名称（全文）； 删除了“效益评估”（见2014年版的6.2）； 更改了2014年版"6.3政府信息分类”的标题和内容（见6.2）； 删除了“敏感信息”和“公开信息”相关的技术内容（见2014年版的6.3.2、6.3.3）； 将标题“政府业务分类”更改为“业务分类”，扩大了业务范围（见6.3，见2014年版的6.4）； 更改了业务分类中关键业务的条件（见6.3.4，见2014年版的6.4.4）； 删除了“优先级确定”的内容（见2014年版的6.5）； 更改了安全保护要求，提出了三级安全能力级别（见6.4，见2014年版的6.6）； 更改了2014年版中的图3，增加了关键业务类型和高级安全能力（见图2）； 删除了“6.7.1概述”（见2014年版的6.7.1）； 更改了2014年版中“6.7.2服务模式”标题及内容，由服务模式划分控制范围更改为通过能力 类型划分控制范围（见6.5.1）； 更改了2014年版中的图4，将服务模式改为基本云服务能力类型（见图3）； 增加了指导客户在迁移时对业务系统集成需求的考虑（见6.5.7，见2014年版的6.7.8）； 更改了2014年版“6.7.9数据的存储位置”的技术内容（见6.5.8）； 更改了“7.1云服务商安全能力要求”的内容，具体要求参见GB/T31168一2023（见7.1，见 2014年版的7.1）； 增加了服务水平协议的相关文件引用（见7.3.3，见2014年版的7.3.3）； 更改了“8.1概述”的内容，引人GB/T37972一2019为云服务商和运行监管方开展云计算服务 运行监管活动提供指导（见8.1，见2014年版的8.1）； 更改了“8.2.1概述”的内容，强调对云服务安全提供商的运行监管责任应由引人方承担（见 II GB/T31167—2023 8.2.1，见2014年版的8.2.1）； 增加了运行监管中客户的相关责任（见8.2.2，见2014年版的8.2.2）； 一增加了重大变更的类型（见8.4.3，见2014年版本的8.4.2）； 一增加了安全事件的类型（见8.4.4，见2014年版本的8.4.3）； 一增加了“迁移原则”一节，用于指导客户在迁移数据时宜要求云服务商遵循的原则（见9.2.1）； 一将2014年版中"9.2确定移交范围”的内容更改为"9.2.2移交范围”（见9.2.2）； 一删除了“9.4安全删除数据”中c)条措施中的“3)存放敏感信息的介质清理后不能用于存放公 开信息”（见2014年版的9.4）； 将2014年版中的9.4安全删除数据”中c）条措施中的脚注作为c）条措施中注（见9.4）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：四川大学、中国科学技术大学、北京信息安全测评中心、华为技术有限公司、中国 电子技术标准化研究院、北京天融信网络安全技术有限公司、国家信息技术安全研究中心、中国网络安 展研究中心、浪潮云信息技术股份公司、深信服科技股份有限公司、中国信息安全测评中心（北京）、杭州 安恒信息技术股份有限公司、中国电子科技集团公司第三十研究所、华信咨询设计研究院有限公司、中 电长城网际系统应用有限公司、成都蜀道易信科技有限公司、新华三技术有限公司、腾讯云计算（北京） 有限责任公司。 本文件主要起草人：陈兴蜀、周亚超、王启旭、闵京华、杨苗苗、罗永刚、张建军、杨建军、左晓栋、 刘海峰、张滨、江为强、李媛、严敏瑞、王翼、王惠莅、张明天、张勇、卢夏、伍扬、陈雪鸿、史大为、柳彩云、 张敏、邱勤、昊复伟、张晓菲、赵丹丹、望娅露、刘俊河、章建聪、陈静、方晓兰、马洪军、张格、董平、于乐、 尹丽波、赵章界、朱毅、邱云翔、王永霞。 本文件及其所代替文件的历次版本发布情况为： 2014年首次发布为GB/T31167—2014； 本次为第一次修订。 IV GB/T31167—2023 引言 本文件与GB/T31168—2023《信息安全技术 、云计算服务安全能力要求》构成了云计算服务安全 管理的基础文件。GB/T31168一2023面向云服务商描述了为客户提供云计算服务时应具备的安全能 力，本文件面向客户提出了采用云计算服务时的安全管理和技术措施。 算服务进行运行监管，规避退出云计算服务或更换云服务商的安全风险。本文件指导客户在采用云计 算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全地使用云计算服务 GB/T31167-—2023 信息安全技术 云计算服务安全指南 1范围 本文件提出了客户采用云计算服务的安全管理基本原则，给出了采用云计算服务的生命周期各阶 段的安全管理和技术措施，提出了云计算服务安全管理原则和相关责任划分。 本文件适用于指导客户安全地采用云计算服务 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069—2022信息安全技术 术语 GB/T31168—2023信息安全技术 云计算服务安全能力要求 GB/T32400—2015信息技术 云计算概览与词汇 3 术语和定义 GB/T25069—2022和GB/T32400—2015界定的以及下列术语和定义适用于本文件。 3.1 云计算cloudcomputing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 ［来源：ISO/IEC17788：2014,3.2.5] 3.2 云服务 cloudservice 云计算服务cloudcomputingservice 使用定义的接口，通过云计算（3.1）提供一种或多种资源的能力。 【来源：ISO/IEC17788：2014，3.2.8，有修改 3.3 参与方party 一个或一组自然人或法人，无论其是否注册。 ［来源：GB/T32400—2015，3.1.6，有修改］ 3.4 云服务提供者 cloud serviceprovider 云服务商 提供云计算服务的参与方。 ［来源：GB/T32400—2015，3.2.15，有修改］ 1 GB/T31167—2023 3.5 云服务客户cloudservicecustomer 为使用云计算服务而处于一定业务关系中的参与方。 注1：业务关系不一定包含经济条款。 注2：本文件中云服务客户简称客户。 ［来源：GB/T32400—2015，3.2.11 3.6 第三方评估机构thirdpartyassessmentorganizations 独立于云计算服务提供方和使用方的专业评估机构。 3.7 云计算基础设施clou