标准规范下载简介
DB15/T 2196-2021 大数据应用 云服务安全技术指南.pdfICS35.240.01 CCS L80
DB15/T 2196202
内蒙古自治区市场监督管理局
蒙古自治区市场监督管理局发
重庆市工程建设标准设计体系4.27DB15/T 2196202
信 范围 规范性引用文件 术语和定义 安全服务过程 4.1概述 4.2上云前安全分析与设计 4.3安全建设 4.4安全运维 4.5安全退出 上云前安全分析与设计 5.1上云安全评估及需求分析 5.2定级备案. 5.3新建系统安全方案设计 安全建设 6.1安全自测 6. 1. 1 概述 6. 1. 2 漏洞扫描 6.1.3 配置核查 6. 1. 4 代码审计 6.1.5应用渗透测试 6. 2 安全管理体系建设 6. 3 安全技术体系建设 6. 4 整改和加固 6. 5 第三方测评 安全运维 7. 1 安全运维体系建设 7. 2 安全运维实施 7. 2. 1 日常安全运维 7. 2. 2 安全监测 7. 2. 3 安全通告 7. 2. 4 应急预案及演练 7. 2. 5 应急响应 7. 2. 6 重大活动安全保障 7. 2. 7 专项安全检查. 7. 2. 8 安全意识及培训 安全退出 录A(资料性) 各阶段输入输出物
DB15/T 2196202
DB15/T2196202
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位:内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、北京信息安全测评中心。 本文件主要起草人:包瑞林、孙卫、林明峰、田丽丹、梁伟、李媛、王钢、李欢、崔连伟
DB15/T2196202
大数据应用云服务安全技术指南
本文件规定了云服务客户信息系统从迁移上云到退出云计算平台过程中各阶段的安全服务内容与 技术要求。 本文件适用于党政机关云计算平台使用单位、云服务商和云服务安全提供商。云安全测评机构也可 参考使用。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T20984信息安全技术信息安全风险评估规范 GB/T22240信息安全技术网络安全等级保护定级指南 GB/T25069信息安全技术术语 GB/T31167信息安全技术云计算服务安全指南 GB/T32400信息技术云计算概览与词汇
DB15/T2196—202
云服务用户迁移信息系统至云计算平台、使用、退出云计算环境过程中,安全服务生命周期包括上 云前安全分析与设计、安全建设、安全运维与安全退出四个阶段。云安全服务生命周期各个阶段输入输 出文档,见附录A。 针对尚未建设的信息系统(以下简称“新建系统”),安全服务过程如图1所示。在上云前安全分 所与设计阶段,完成安全评估与需求分析、安全开发及定级备案;在安全建设阶段,完成安全管理体系 建设、安全技术体系建设、安全自测,根据安全自测结果进行整改和加固,最后进行第三方测评;在安 全运维阶段,进行安全运维体系建设及落地实施;在安全退出阶段,针对信息系统退出云计算平台的过 开展安全管控
图1新建信息系统安全服务过程
针对已建信息系统,安全服务过程如图2所示。在上云前安全分析与设计阶段,完成安全评估与需 求分析、定级备案;在安全建设阶段,通过安全自测得出差距分析,设计整改方案,开展安全管理体系 建设、安全技术体系建设、整改和加固,最后开展第三方测评;在安全运维阶段,进行安全运维体系建 设及落地实施:在安全退出阶段,针对信息系统退出云计算平台的过程开展安全管控。
DB15/T 21962021
1.2上云前安全分析与
图2已建信息系统安全服务过程
信息系统迁移至云计算平台(以下简称“上云”)前,完成上云前安全需求分析及定级备案。针对 新建系统,根据信息系统安全需求,设计系统安全开发方案,实现软件安全开发生命周期管理。
信息系统迁移至云计算平台后,开展安全管理体系设计及落地、安全技术体系的设计和实施、安全 自测、整改加固以及第三方测评GBT 50165-2020 古建筑木结构维护与加固技术标准.pdf,以提升信息系统在云上的安全防护能力
信息系统完成安全建设后,需开展安全运维活动,包括了安全运维体系的建设以及安全运维实施。 在识别、防护、检测、预警、响应、处置等环节,通过团队、技术平台、运维三要素的密切协同,持续 性开展安全运维,形成安全闭环。
信息系统退出云计算平台(以下简称“下线”)过程需进行安全退出管理,主要确保业务数据得到 有效保护,在系统下线的过程中不造成信息的泄露
5上云前安全分析与设计
5.1上云安全评估及需求分析
对于适合上云的信息系统,安全需求分析重点是合 过上云评估及 安全需求分析,发现待上云信息系统的安全风险,挖掘信息系统的合规性要求和安全需求,完成信息系 统上云前的安全准备工作。具体内容包括: a 调研系统业务,包括调研信息系统的业务功能、系统用户、安全保护等级,梳理信息系统资 产,根据业务数据的敏感程度以及系统功能,判断信息系统是否适合上云; b 调研云计算平台是否已通过云计算服务安全评估: C 调研上云前是否存在对信息系统的安全测试要求以及通过情况; d 调研系统网络架构及IP地址,包括调研信息系统的网络架构、外联线路情况、IP地址划分 VLAN划分、业务高峰期流量峰值以及业务流向情况GB 50202-2018标准下载,梳理信息系统架构和业务数据流向; 调研信息系统安全现状,包括安全能力现状及其安全策略: 调研运维终端设备情况,包括设备的安全策略、主机防病毒情况
g) 调研数据及备份情况,包括信息系统配置信息、业务数据信息、备份策略。 评估信息系统安全风险,对信息系统所面临的安全风险以及上云后面临的安全风险进行风险 分析,提出应对建议; i分析系统上云信息系统安全需求,
针对尚未定级备案的信息系统开展定级备案工作。定级备案的措施包括: 依据GB/T22240要求,确定定级对象,确定受损害的客体以及侵害程度,从业务信息及系统 服务两个方面最终确定信息系统安全保护等级; b 编写定级报告及备案表; c)根据专家评审意见进行修订,完成信息系统备案工作。