建议项目名称
(中文)
|
云服务用户数据保护能力评估方法 第2部分:私有云
|
建议项目名称
(英文)
|
Cloud User Data Protection Capability Assessment Method Part II : Private Cloud Data Security
|
制定或修订
|
□制定 ■修订
|
被修订标准号
|
YD/T 3797.2-2020
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
ICS分类号
|
35.020
|
中国标准分类号
|
L70
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
S-03-01-08-01-03
|
参与单位
|
腾讯云计算(北京)有限责任公司,北京天融信网络安全技术有限公司,北京京东尚科信息技术有限公司
|
完成周期(月)
|
18
|
目的、意义
或必要性
|
《数据安全法》对数据管理者和运营者的数据保护责任提出要求,并明确将对数据安全违法行为进行相应处罚,正式实现了数据安全方面的有法可依。随着产业数字化进程不断推进,云计算成为数据存储和处理的底座。在云计算架构下用户和服务商分离,数据的所有者和保管者分离,数据的所有权与保管权分离。
从用户的视角看云计算数据安全问题,可概括为以下三个方面:一是传统IT系统数据安全问题仍然存在;二是由于不涉及切身利益,云服务提供商在运营过程中易忽略但将长期潜在的未知安全问题;三是云服务提供商可能为了自己的利益损害用户数据安全。
为了规范云上数据安全管理,本标准将对云上数据处理全生命周期进行规范要求,全方位保障云上数据安全。
|
范围和主要
技术内容
|
标准从以下六个阶段对数据处理全生命周期进行规范:1)数据采集安全:数据分类分级、采集安全、数据质量管理;2)数据传输安全:传输网络安全、传输保密性、传输完整性、云平台数据迁入迁出;3)数据存储安全:存储介质安全、数据存储持久性、数据私密性、数据可用性;4)数据使用安全:使用环境安全、数据隐私性、数据访问安全、数据使用合规、数据安全事件管理;5)数据交换安全:数据共享安全、数据发布安全、数据跨境;6)数据销毁安全:数据清除、存储介质销毁。
|
国内外情况
简要说明
|
关于云上数据保护相关标准,国外有来自德国的“C5”《Cloud Computing Compliance Controls Catalogue》,国内有《大数据安全管理指南》。与《云服务用户数据保护能力评估办法 第2部分:私有云数据安全》相比,C5更侧重于云服务商的运营管理体系;《大数据安全管理指南》中第八章对数据活动进行了定义并要求符合安全,但是并未进一步进行细化。
《云服务用户数据保护能力评估办法 第1部分:公有云》与《云服务用户数据保护能力评估办法 第2部分:私有云》侧重于从安全事件的发展流程入手,考察事前预防,事中保护,事后溯源,对数据的采集安全、使用安全、数据交换安全、各阶段合规均未涉及。本标准将着眼于数据处理生命周期中的所有阶段,对合规与安全进行规范,重点为合规性,可审计性与持续优化性。
|
备注
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|