GB/T 38249—2019 信息安全技術 政府網站云計算服務安全指南8.2 安全職責
8.2.1 云服務客戶
云服務客戶在運行管理階段的安全職責如下:
a) 應建立云計算服務保密審查制度,指定機構和人員定期負責對遷移到云計算平臺上的數據、業務進行保密審查,確保數據和業務不涉及國家秘密;
b) 應在云服務商、云服務代理商處理信息安全事件過程中提供協助;
c) 應對云上的政府網站進行安全監測,并對相關服務商進行監督管理;
d) 應對云上的政府網站制定應急預案;
e) 對云服務商所提供的云平臺的重大變更進行監督管理,重大變更范圍參照GB/T 31167—2014《信息安全技術 云計算服務安全指南》中相關內容;
8.2.2 云服務商
云服務商在運行管理階段的安全職責如下:
a) 在階段風險評估和監測中,應符合GB/T 31168—2014《云計算服務安全能力要求》相關要求;
b) 云服務商有重大調整變更時,應向云服務客戶提前通知,并獲得監管部門審核,同時評估可能對云服務客戶造成的影響;
c) 嚴格履行合同規定中的責任和義務,遵守相關的安全管理政策和標準;
d) 應接受監管部門組織的信息安全檢查,包括必要的滲透測試、風險評估、安全審計等;
e) 保障云服務客戶的數據和業務的機密性、完整性、可用性,以及互操作性、可移植性;
f) 持續開展對員工的安全和保密教育,自覺維護云服務客戶的云計算服務安全;
g) 應根據監測情況定期向云服務客戶提供安全運行報告;
h) 制定應急預案及安全事件處置響應計劃;
i) 對信息系統運行狀態(如CPU、內存、網絡)進行監視,并能夠對資源的非法越界發出警報。
8.2.3 云服務代理商
云服務代理商在運行管理階段的安全職責如下:
a) 應接受云服務客戶對其提供的服務的持續監管;
b) 應配合云服務客戶、云服務商進行相應的業務服務,如:等級保護測評、云計算安全審查等;
c) 根據與云服務客戶簽訂的服務協議、合同,向云服務客戶提供安全服務,并定期提供服務報告;
d) 應確保在向云服務客戶提供服務時,不影響云服務的運行及其他云服務客戶的使用。
8.2.4 第三方評估機構
第三方評估機構的安全職責如下:
a) 第三方評估機構應在云計算服務運行過程中配合監管部門或云服務客戶,對云計算平臺或政府網站進行安全評估;
推薦文章: