GB/T 31168—2014 信息安全技術 云計算服務安全能力要求附錄A (資料性附錄) 系統安全計劃模版
A.1平臺或系統名稱
云服務商應在表A.1中填入平臺或系統的標識信息。
表 A.1 平臺或系統名稱
| 平臺或系統名稱 |
|---|
A.2 適用的信息安全能力要求
云服務商應在表A.2中選擇其適用的信息安全能力要求。
表 A.2 安全能力要求
| 一般 | |
|---|---|
| 增強 |
A.3 平臺或系統安全負責人
云服務商應在表A.3中提供平臺或系統的安全負責人基本信息。
表A.3 平臺或系統安全負責人
| 姓名 | |
|---|---|
| 部門及職務 | |
| 地址 | |
| 電話號碼 | |
| 電子郵件 |
A.4 服務模式
云服務商應在A.4表中選擇其提供的服務模式。
表 A.4服務模式
| 服務模式 | |
|---|---|
| 軟件即服務 (SaaS) | |
| 平臺即服務 (PaaS) | |
| 基礎設施即服務 (IaaS) | |
| 其他 |
A.5 平臺或系統描述
A.5.1平臺或系統的功能和目的
云服務商應在表A.5中簡要描述平臺或系統的功能和目的。
表 A.5 平臺或系統的功能和目的
| 平臺或系統的功能和目的 |
|---|
A.5.2平臺或系統的組件和邊界
云服務商應在表A.6中詳細、準確描述平臺或系統的主要組件及系統邊界。
表 A.6 平臺或系統的組件和邊界
| 平臺或系統的組件和邊界 |
|---|
A.5.3使用者類型
云服務商應在表A.7中對平臺或系統中擬涉及的使用者類型進行描述。其中,云服務商的員工或者合同商作為內部用戶,所有其他用戶作為外部用戶。
使用者類型主要指與云計算平臺或系統進行直接通信、訪問云計算平臺上的信息或數據的用戶,以及系統管理員、網絡管理員等。
表 A.7使用者類型和特權
| 用戶角色 | 內部或外部 | 訪問權限 |
|---|---|---|
A.5.4網絡架構
云服務商應在此處提供一張或多張網絡拓撲圖,并在拓撲圖A.1中清晰描述下列內容:主機名、DNS服務器、鑒別和訪問控制服務器、目錄服務器、防火墻、路由器、交換機、數據庫服務器、主要應用、互聯網接入服務提供商、VLAN等。(若有多圖,標為圖A.1(a)、圖A.1(b)…)
圖 A.1 網絡拓撲圖
A.5.5與其他云服務的關系
若依賴于其他云服務,云服務商應在A.8表中進行說明。
表 A.8所依賴的其他云服務
| 系統名稱 | 云服務商名稱 | 是否通過審查(含審查日期) | 用途 |
|---|---|---|---|
A.6 平臺或系統的環境
A.6.1硬件清單
云服務商應在A.9表中列出使用的全部硬件設備,包括服務器、存儲設備等。
表 A.9硬件清單
| 主機名 | 制造商 | 型號 | 使用地點 |
|---|---|---|---|
A.6.2軟件清單
云服務商應在表A.10中列出使用的全部軟件,包括任何中間件、數據庫、安全文件傳輸應用等。
表A.10軟件清單
| 主機名 | 軟件名 | 開發商 | 功能 | 版本 | 是否虛擬 |
|---|---|---|---|---|---|
A.6.3網絡設備清單
云服務商應在表A.11中列出使用的全部網絡設備。
表 A.11網絡設備清單
| 主機名 | 制造商 | 型號 | IP地址 | 功能 |
|---|---|---|---|---|
A.6.4數據流
云服務商應在此處提供一張或多張圖,描述進出系統邊界(包括內部邊界)的數據流。
圖A.2 數據流
A.6.5端口、協議、服務
云服務商應在表A.12中對系統中開啟或使用的端口、協議和服務進行描述。
表A.12端口、協議和服務
| 端口 | 協議 | 服務 | 目的 | 被何組件使用 |
|---|---|---|---|---|
A.7 平臺或系統連接
云服務商應在表A.13中對本平臺或系統與其他系統的連接進行描述。網絡連接的安全措施可包括:IPSec VPN、SSL等。
表 A.13平臺或系統連接
| IP及接口 | 外部組織名稱及系統IP地址 | 外部系統聯系人 | 網絡連接的安全措施 | 數據流向 (流入、流出、雙向) | 傳輸的信息 | 端口或線路 |
| | | | | | | |
A.8 《云計算服務安全能力要求》的實現情況
云服務商應在逐項列出對《云計算服務安全能力要求》(以下簡稱《能力要求》)各項要求的實現情況(在相應選擇處劃√)。如云服務商只實現了一般安全要求,則可在本安全計劃中刪除與增強要求有關的信息。對標準中給出的賦值和選擇項,需在表格中明確列出賦值和選擇的具體參數。
A.8.1系統開發與供應鏈安全
A.8.1.1策略與規程
A.8.1.1.1一般要求
云服務商應:
a)制定如下策略與規程,并分發至[賦值:云服務商定義的人員或角色]:
1)系統開發與供應鏈安全策略(包括采購策略等),涉及以下內容:目的、范圍、角色、責任、管理層承諾、內部協調、合規性。
2)相關規程,以推動系統開發與供應鏈安全策略及有關安全措施的實施。
b)按照[賦值:云服務商定義的頻率]審查和更新系統開發與供應鏈安全策略及相關規程。
表 A.14(a)系統開發與供應鏈安全策略與規程一般要求實現情況
| 安全要求**列項** | 安全要求實現情況及理由 | 具體賦值/選擇 | 采取的安全措施 |
| 滿足 | 部分滿足 | 計劃滿足 | 替代滿足 | 不滿足 | 不適用 |
| a) | | | | | | | | |
表 A.14(b) 擬提供的證據或針對未完全滿足情況所作的說明
| a) | |
表A.14(c) 對客戶相關安全責任和安全措施的建議
| |
A.8.1.1.2增強要求
無。
A.8.1.2資源分配
……
A.8.1.3系統生命周期
……
A.9 新增安全措施
如在《能力要求》之外,云服務商提供了新增的安全措施,應逐項列表進行詳細描述。
表A.15 云服務商新增安全措施
| 序號 | | 名稱 | |
| 新增安全措施的目標: |
| 新增安全措施的具體描述: |
推薦文章: