ICS35.240.40 A11JR 中华人民共和国金融行业标准 JR/T0167—2020 代替JR/T0167—2018 云计算技术金融应用规范安全技术要求 Financialapplicationspecificationofcloudcomputingtechnology—— Securitytechnicalrequirements 2020-10-16发布 2020-10-16实施 中国人民银行发布JR/T0167—2020 I目  次 前言.....................................................................................................................................................................II 引言...................................................................................................................................................................III 1范围.................................................................................................................................................................1 2规范性引用文件.............................................................................................................................................1 3术语和定义.....................................................................................................................................................1 4缩略语.............................................................................................................................................................1 5概述.................................................................................................................................................................2 6基础硬件安全.................................................................................................................................................3 7资源抽象与控制安全.....................................................................................................................................4 8应用安全.........................................................................................................................................................8 9数据安全.........................................................................................................................................................9 10安全管理功能.............................................................................................................................................11 11安全技术管理要求.....................................................................................................................................13 12服务能力要求.............................................................................................................................................18 附录A（规范性附录）云计算平台可选组件的安全要求.........................................................................19 附录B（资料性附录）云计算的安全风险.................................................................................................21JR/T0167—2020 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替JR/T0167—2018《云计算技术金融应用规范安全技术要求》，与JR/T0167—2018相 比，除结构调整和编辑性改动外，主要技术变化如下： ——更改了“云计算安全框架”（见5.2，2018版的5.2）； ——增加了对机房的安全要求（见6.1）； ——增加了云服务提供者每年安全审计的要求（见7.2.4）； ——增加了应用安全要求（见8） ——增加了云服务提供者跨境数据迁移时的要求（见9.5）； ——增加了云服务提供者在升级或变更前应制定回退方案并充分测试评估要求（见11.4.2）； ——增加了云服务提供者应每年至少开展2次应急演练，并滚动完善应急预案（见11.4.5）； ——增加了服务能力要求（见12）。 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国人民银行济南分行、中国人民银行西安分行、中国人 民银行合肥中心支行、中国金融电子化公司、中国银联股份有限公司、网联清算有限公司、中国工商银 行、中国农业银行、中国银行、中国建设银行、中国邮政储蓄银行、招商银行、中国光大银行、中国民 生银行、兴业银行、平安银行、国泰君安证券股份有限公司、华泰证券股份有限公司、中国人寿保险（集 团）公司、中国人民保险集团股份有限公司、中国互联网金融协会、财付通支付科技有限公司、蚂蚁科 技集团股份有限公司、华为技术有限公司、阿里云计算有限公司、北京百度网讯科技有限公司、新华三 技术有限公司、兴业数字金融服务（上海）股份有限公司、亚马逊通技术服务（北京）有限公司、京东 数字科技控股股份有限公司、北京宏基恒信科技有限责任公司、北京信安世纪科技股份有限公司、天津 麒麟信息技术有限公司、深圳证券交易所、上海众人网络安全技术有限公司、腾讯云计算（北京）有限 责任公司、北京中金国盛认证有限公司、北京金融科技产业联盟、中金金融认证中心有限公司、北京银 联金卡科技有限公司、北京软件产品质量检测检验中心。 本文件主要起草人：李伟、李兴锋、涂晓军、强群力、张宏基、孙维挺、侯晓晨、邬向阳、班廷伦、 杨倩、马征、聂丽琴、郭林、吕苏、任明、张海燕、唐辉、胡达川、朱勇、周国林、辛路、杨彬、陈则 栋、刘运、秦宇锋、缪凯、杨文斌、吴亚飞、任兆麟、吴永强、吴金海、孔令斌、张文涛、莫云飞、陈 当阳、李明凯、赵华、符海芳、白阳、于柳婍、刘力慷、薛松源、宋铮、邓峰、李进、孙衍琪、居未伟、 王晓燕、樊华、王伟、沈锡镛、杨俊、郝轶、罗子强、张国泽、周亚国、张翰林、蒋增增、卞海军、张 振猛、胥少龙、来宾、王宇翔、陈晨、陈雪秀、曹伟、穆冬生、宋杰、瞿红来、许涛、王绍斌、张荣典、 潘斌、汪宗斌、白雷、侯大鹏、张峻华、张嵩、赵春华、高天游、金怡、钟琪、渠韶光、贾铮、李博文、 闫莅、黄敏、葛小宇、王仕、王研娟、林春、郑子洲、周伟然、黄超、高坤、林林、李荣振、李志伟、 焦振新、蔡志玮、胡利明、陈明。 本文件及其所替代文件的历次版本发布情况为： ——2018年首次发布为JR/T016