GB/T 38249—2019 信息安全技術 政府網站云計算服務安全指南9.3 服務安全退出
9.3.1 退出需求
合同到期或其他原因都可能導致云服務客戶退出云計算服務,或將數據和業務轉移到其他云計算平臺上。云服務客戶的安全職責如下:
a) 云服務客戶在與云服務商簽訂合同時提前約定退出條件,以及退出時云服務客戶、云服務商的責任義務;
b) 云服務客戶應要求云服務商完整返還云服務客戶數據;
c) 在將數據和業務退出后,云服務客戶應滿足業務的可用性和持續性要求;
d) 云服務客戶應及時取消云服務商對云服務客戶資源的物理和電子訪問權限;
e) 云服務客戶提醒云服務商在云服務客戶退出云計算服務后仍應承擔的責任及義務;
f) 云服務客戶應要求云服務商對數據進行徹底清除。
9.3.2 退出方案
云服務客戶應在退出需求的基礎上主導制定退出方案,明確退出過程中的各角色職責分工,做好網站退出的各項保障工作。根據退出后網站的處理情況做好相應的銜接工作。
9.3.3 數據移交
從云計算平臺遷移出的數據,不僅包括云服務客戶移交給云服務商的數據和資料,還應包括政府網站在云計算平臺上運行期間產生、收集的數據以及相關文檔資料,包括但不限于以下內容:數據文件、文檔資料和其他數據。
9.3.4 數據的完整性
云服務客戶應對云服務商返還的數據完整性進行驗證,云服務客戶的安全職責如下:
a) 云服務客戶與云服務商的合同中應就退出服務階段移交數據清單進行約定,并對移交數據的類型、有效期進行明確;
b) 應要求云服務商根據移交數據清單完整返還云服務客戶數據信息,如歷史數據和歸檔數據;
c) 云服務客戶應通過業務系統驗證數據信息的有效性和完整性。
9.3.5 數據銷毀
云服務客戶退出云計算服務后,仍應要求云服務商安全處理云服務客戶數據,承擔相關的責任義務,云服務客戶或委托第三方評估機構對數據刪除過程進行監督。云服務客戶的安全職責如下:
a) 云服務客戶可要求云服務商按照合同安全要求保留云服務客戶數據信息一段時間,收到云服務客戶的書面授權后方可刪除云服務客戶數據信息;
b) 云服務商應制定數據信息刪除計劃,監督數據信息刪除過程,并對數據信息刪除情況進行驗證;
要求云服務商對存放云服務客戶數據的存儲介質進行清理,并對過程進行監督。
推薦文章: