GBT 31168-2014标准规范下载简介

GBT 31168-2014 信息安全技术 云计算服务安全能力要求

13.5岗位风险与职责

a) 标识出所有岗位的风险： b) 建立上岗人员的筛选准则： ) 按照赋值：云服务商定义的频率.评审和更新各岗位的风险标识： d) 根据岗位风险，明确所有岗位的信息安全职责，并与客户共同确定涉及云计算服务的安全 职责： e）对赋值：云服务商定义的关键职责进行分离，并将职责分离情况记录在案，通过访问控制措 施进行落实。

a）标识出所有岗位的风险： b) 建立上岗人员的筛选准则： ) 按照赋值：云服务商定义的频率，评审和更新各岗位的风险标识： d) 根据岗位风险，明确所有岗位的信息安全职责，并与客户共同确定涉及云计算服务的安全 职责： e) 对赋值：云服务商定义的关键职责进行分离，并将职责分离情况记录在案，通过访问控制措 施进行落实。

云服务商应： a）确保授权访问信息系统的人员已经经过筛选GB51427-2021 自动跟踪定位射流灭火系统技术标准及条文说明.pdf，人员背录景信息和筛选结果应可供客户查阅； b）按照[赋值：云服务商定义的再筛选条件和频率]，对授权访问人员进行再筛选； C）与授权访间信息系统的人员签订保密协议

云服务商应： a）确保授权访问信息系统的人员已经经过筛选，人员背景信息和筛选结果应可供客户查阅； b）按照[赋值：云服务商定义的再筛选条件和频率]，对授权访问人员进行再筛选； 与授权访问信息系统的人员签订保密协议

云服务商一且决定终止与某人员的雇用关系，应： a) 在【赋值：云服务商定义的期限内·禁止该人员对信息系统的访间； b) 终止或撤销与该人员相关的任何身份鉴别物或凭证： ) 与该人员进行离职面谈，包括商讨赋值：云服务商定义的信息安全事宜」： d) 收回该人员所有涉及安全的本组织信息系统相关资产； e) 确保之前由该人员控制的信息和信息系统仍然可用： f) 在赋值：云服务商定义的期限1内，通知赋值：云服务商定义的人员或角色工

云服务商一且决定终止与某人员的用关系，应： a）在[赋值：云服务商定义的期限］内·禁止该人员对信息系统的访间； b）终止或撤销与该人员相关的任何身份鉴别物或凭证： c）与该人员进行离职面谈，包括商讨赋值：云服务商定义的信息安全事宜」： d 收回该人员所有涉及安全的本组织信息系统相关资产； 确保之前由该人员控制的信息和信息系统仍然可用： 1 在赋值：云服务商定义的期限1内，通知赋值：云服务商定义的人员或角色工

GB/T 311682014

的逻辑和物理访问权限； D 在[赋值：云服务商定义的正式下达调令后期限］内，启动[赋值：云服务商定义的再分配或调动 行动； 修改访问授权： d）在[赋值：云服务商定义的期限内，通知【赋值：云服务商定义的人员或角色】

在人员被再分配或调动至 的逻辑和物理访问权限： b）在[赋值：云服务商定义的正式下达调令后期限】内，启动【赋值：云服务商定义的再分配或调动 行动； c 修改访间授权： d）在[赋值：云服务商定义的期限】内，通知[赋值：云服务商定义的人员或角色]。

云服务商应： a）制定云计算平台的访间协议； b）按照[赋值：云服务商定义的频率].评审和更新该访问协议； c）确保云计算平台的访问人员： 1）在被授予访问权之前，签署合适的访问协议： 2根据工作需要，或者按照[赋值：云服务商定义的频率，重新签署访问协议

云服务商应 a）制定云计算平台的访间协议； b）按照[赋值：云服务商定义的频率].评审和更新该访问协议； c）确保云计算平台的访问人员： 1）在被授予访问权之前，签署合适的访问协议： 2根据工作需要，或者按照[赋值：云服务商定义的频率]，重新签署访问协议。

13.10第三方人员安全

云服务商应： a) 为第三方供应商（如服务组织、合同商、信息系统开发商、外部应用提供商）建立人员安全要求， 包括安全角色和贡任； b). 要求第三方供应商遵守本组织的人员安全策略与规程； C) 要求第三方供应商在[赋值：云服务商定义的期限】内，将拥有本组织证件或系统访间权限的第 三方人员的任何调动或离职情况通知[赋值：组织指定的人员或角色]； d) 监视第三方供应商的合规情况

云服务商应： a) 为第三方供应商（如服务组织、合同商、信息系统开发商、外部应用提供商）建立人员安全要求， 包括安全角色和贡任； b). 要求第三方供应商遵守本组织的人员安全策略与规程； C) 要求第三方供应商在[赋值：云服务商定义的期限】内，将拥有本组织证件或系统访间权限的第 三方人员的任何调动或离职情况通知[赋值：组织指定的人员或角色]； d）监视第三方供应商的合规情况

[3.10.2增强要求

13.11.1一般要求

）对于违反信息安全策略与规程的人员，启动处罚程序： 在启动处罚程序时，在[赋值：云服务商定义的期限内，通知[赋值：云服务商定义的人员或角 色1.指明受处罚人员及处罚原因

云服务商应： a）在以下情况下为内部人员、客户及其他有关人员（包括管理层人员和合同商）提供基础的安全 意识培训： 1）内部人员、客户及其他有关人员接受初始培训时； 2）系统变更时； 3) 按照汇赋值：云服务商定义的频率]。 b）在以下情况下为承担安全角色和职责的人员提供基于角色的安全技能培训： 1）被授权访问信息系统或者执行所分配的职责之前： 2）系统变更时； 3 按照[赋值：云服务商定义的频率]。 c）记录信息系统安全培训活动，包括基础的安全意识培训和特定的信息系统安全培训； d）在赋值：云服务商定义的时间段】内·保存人员的培训记录

云服务商应： a）在以下情况下为内部人员、客户及其他有关人员（包括管理层人员和合同商）提供基础 意识培训： 1）内部人员、客户及其他有关人员接受初始培训时； 2）系统变更时： 3） 按照【赋值：云服务商定义的频率】。 b）在以下情况下为承担安全角色和职责的人员提供基于角色的安全技能培训： 1）被授权访问信息系统或者执行所分配的职责之前： 2）系统变更时； 3）按照[赋值：云服务商定义的频率]。 c）记录信息系统安全培训活动，包括基础的安全意识培训和特定的信息系统安全培训； d）在赋值：云服务商定义的时间段］内·保存人员的培训记录

13.12.2 量增强要求

云服务商应在安全意识培训中加人有关发现

云服务商应： a 制定如下策略与规程，并分发至[赋值：云服务商定义的人员或角色]： 1）物理与环境安全防护策略，涉及以下内容：目的、范围、角色、责任、管理层承诺、内部协调 合规性： 2）相关规程，以推动物理与环境安全防护策略及有关安全措施的实施。 b）按照赋值：云服务商定义的频率7审查和更新物理与环境安全防护策略及相关规程

14.2物理设施与设备选址

14.2物理设施与设备选址

14.2.1±一般要求

云服务商应： a）在机房选址时，满足GB50174—2008的相关规定； b）对机房面临的潜在物理和环境危险进行评估，形成评估报告.并在其风险管理策略中防范此类 48

按照【赋值：云服务商定义的频率］或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况 下，更换钥匙和访间凭证

按照【赋值：云服务商定义的频率或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况 下，更换钥匙和访间凭证

云服务商应使用赋值：云服务商定义的安全防护手段］对[赋值：云服务商定义的云计算平台通 线路进行保护

云服务商应使用赋值：云服务商定义的安全防护手段］对[赋值：云服务商定义的云计算平台通信 路丁进行保护。

14.7输出设备访问控制

云服务商应对[赋值：云服务商定义的输出设备］进行物理访问控制，防止非授权人员获得输出 信息，

云服务商应对物理人侵警报装置和监控设备进行监视

云服务商应： a 制定和维护云计算平台所在机房的访客访问记录，并保留至赋值：云服务商定义的时间 段后； b) 按照赋值：云服务商定义的频率］对访问记录进行审查

14.10电力设备和电缆安全保障

GB/T31168—2014

云服务商应： a）在设置电力电缆设备时，符合GB50174—2008的相关规定； b对云计算平台的电源和电缆进行保护，以免受损或遭到破坏； C 在发生紧急情况时.具有切断云计算平台及其单独系统组件电源的能力 d》在云计算平台或系统组件机房外的特定位置设置紧急断电开关或设备，以确保人员操作的安 全和便捷： e) 对紧急断电设备进行保护，防止非授权触发：

14.10.2增强要求

云服务商应提供长期备用电源，以便在非正常停电时，在赋值：云服务商定义的时间段内维持云 计算平台的最低功能

14.11应急照明能力

14.11.1 一般要求

云服务商应为云计算平台配备应急照明设备并进行维护，并可在断电的情况下触发，应急照明包括 机房内的紧急通道和疏散通道指示牌

云服务商应为云计算平台配备应急照明设备并进行维护，并可在断电的情况下触发，应急照明包括 机房内的紧急通道和疏散通道指示牌

14.11.2增强要求

14.12.1一般要求

）按照GB/T9361—2011及其他有关标准规范的要求，设置消防系统： 为云计算平台部署火灾检测和灭火设备、系统，并进行维护，灭火设备或系统应使用独立的 电源

[4.12.2增强要求

云服务商应 a）部署火灾探测设备或系统，在发生火灾时能够自动触发，并向应急响应部门发出警报； b）部署灭火设备或系统，在发生火灾时能够自动触发，并向应急响应部门发出警报； c）在无人值守的机房部署自动灭火设备或系统

GB/T311682014

14.13温湿度控制能力

14.13.1一般要求

14.13.2增强要求

[14.15] ± 一般要求

14.15.2增强要求

云服务商应在表A.1中填人平台或系统的标识信息

GB/T311682014

表A.1平台或系统名秘

A.2适用的信息安全能力要求

云服务商应在表A.2中选择其适用的信息安全能力要求。

表 A.2安全能力要求

A.3平台或系统安全负责人

务商应在表A.3中提供平台或系统的安全负责人基本

表A3平台或系统安全负责人

云服务商应在表A.4中选择其提供的服务模式

运服务商应在表A.4中选择其提供的服务模式

GB/T31168—2014

A.5.1平台或系统的功能和目的

医服务商应在表A.5中简要描述平台或系统的功能和目的

表 A.5量平合或系统的功能和目的

A.5.2平台或系统的组件和边界

表A,6平台或系统的组件和边界

云服务商应在表A.7中对平台或系统中拟涉及的使用者类型进行描述。其中，云服务商的员工可 者合同商作为内部用户，所有其他用户作为外部用户。 使用者类型主要指与云计算平台或系统进行直接通信、访间云计算平台上的信息或数据的用户，以 及系统管理员、网络管理员等

表A.7使用者类型和特权

云服务商应在此处提供一张或多张网络拓 中萌猫还下州内谷：生机名 DNS服务器、鉴别和访问控制服务器、目录服务 路由器、交换机、数据库服务器、主要应用、 互联网接人服务提供商、VLAN等若有多图.标为图A.1（a）、图A.1（b)]

A.5.5与其他云服务的关系

依赖于其他云服务·云服务商应在表A，8中进行说明

表A.8所依赖的其他云服务

A.6平台或系统的环境

公服务商应在表A.10中列出使用的全部软件

A.6.3网络设备清单

云服务商应在表A.11中列出使用的全部网络设备。

表A.11网络设备清单

此处提供一张或多张图（见图A.2）描述进出系统边早

A.6.5端口协议、服务

表A12端口协议和服务

GB/T31168—2014

云服务商应在表A.13中对本平台或系统与其他系统的连接进行描述。网络连接的安全措施可包 括:IPSecVPN,SSI.等

表A.13平台或系统连接

A.8《云计算服务安全能力要求》的实现情况

在相应选择处划√）。如云服务商只实现了一般安全要求.则可在本安全计划中删除与增强要求有关 的信息。对标准中给出的赋值和选择项·需在表格中明确列出赋值和选择的具体参数

A.8.1系统开发与供应链安全

A.8.11策路与规程

A.8.1.1.1 一般要求

云服务商应填写表A.14(a）、（b），（c）内容： 制定如下策略与规程.并分发至[赋值：云服务商定义的人员或角色]： 1）系统开发与供应链安全策略（包括采购策略等），涉及以下内容：目的、范围、角色、责任、管 理层承诺、内部协调、合规性。 2）相关规程，以推动系统开发与供应链安全策略及有关安全措施的实施。 b）按照【赋值：云服务商定义的频率审查和更新系统开发与供应链安全策略及相关规程

JGJ 91-2019 科研建筑设计标准 系统开发与供应链安全策略与规程一般要求实现情

表A.14（b）拟提供的证据或针对未完全满足情况所

表A.14(c）对客户相关安全责任和安全措施的建议

如在《云计算服务安全能力要求》之外，云服务商提供了新增的安全措施，应在表A.15中逐项列表 行详细描述

DB11T 1301-2015 湿地监测技术规程表A.15云服务商新增安全措施

GB/T311682014