ICS 33.030 CCS L 70 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 云服务客户信息安全管理指南 Guidance for cloud service customer information security management （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业与信息化部   发 布 YD/T XXXXX—XXXX I目  次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 云服务客户信息安全框架 ............................................................... 2 5.1 云服务安全责任共担原则 ........................................................... 2 5.2 云服务客户信息安全管理框架 ....................................................... 2 5.3 云服务客户安全防护框架 ........................................................... 2 6 云服务客户信息安全管理措施 ........................................................... 3 6.1 规划准备 ......................................................................... 3 6.2 选择服务商与部署 ................................................................. 4 6.3 运行与监控 ....................................................................... 6 6.4 退出服务 ......................................................................... 6 7 云服务客户信息安全防护措施 ........................................................... 7 7.1 网络安全 ......................................................................... 7 7.2 计算安全 ......................................................................... 7 7.3 应用安全 ......................................................................... 9 7.4 数据安全 ........................................................................ 10 7.5 安全运维 ........................................................................ 11 7.6 安全合规 ........................................................................ 12 参考文献 .............................................................................. 14 YD/T XXXXX—XXXX II前  言 本文件按照 GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则 》的规定起草 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：深圳市腾讯计算机系统有限公司、腾讯云计算（北京 ）有限责任公司、中国信息 通信研究院 、杭州中尔网络科技有限公司 、深信服科技股份有限公司 、深圳华大生命科学研究院 、中国 邮政储蓄银行股份有限公司深圳分行、 中国电信集团有限公司、北京启明星辰信息安全技术有限公司 、 北京百度网讯科技有限公司 。 本文件主要起草 人：王永霞、康和、王余、孔松、韩非、 沈飙、葛方隽、刘晨、徐爽、张鹏程、蔡 国瑜、李昭、郭瑶瑶、 田建丽、唐佳伟、韩放、李炜、蔡序娟。 YD/T XXXXX—XXXX 云服务客户信息安全管理指南 1　范围 本文件提出了云服务客户在公有云服务生命周期各阶段的信息安全管理和防护要求。 本文件适用于指导云服务客户安全用云 ，以及基于其自身的安全管理措施 ，构建和完善云上系统的信 息安全管理机制。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ;不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文 件。 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 YD/T 4060-2022 云计算安全责任共担模型 3　术语和定义 下列术语和定义适用于本文件。 3.1　 云计算 cloud computing 一种通过网络可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。 [来源：GB/T 32399-2015 ，6] 3.2　 云服务 cloud service 通过云计算（ 3.1）已定义的接口提供的一种或多种能力。 [来源：GB/T 32399-2015 ，7.2.4] 3.3　 参与方 party 一个或一组自然人或法人，无论该法人是否注册。 [来源：GB/T 32399-2015 ，7.2.3] 3.4　 云服务客户 cloud service customer YD/T XXXXX—XXXX 为使用云服务（ 3.2）而处于一定业务关系中的参与方（ 3.3）。 注：业务关系不一定包含经济条款。 [来源：GB/T 32399-2015 ，8.2.] 3.5　 云服务产品 cloud service product 与一组商业条款一同被提供的一个云服务。 注:商业条款能包括定价、定级和服务水平。 [来源：GB/T 32400-2015 ，3.1.6] 4　缩略语 下列缩略语适用于本文件。 AES：高级加密标准（ Advanced Encryption Standard ） DDos：分布式拒绝服务攻击（ Distributed Denial of Service attacks） ECC：椭圆加密算法（ Elliptic Curve Cryptography ） HTTPS：超文本传输安全协议（ Hypertext Transfer Protocol Secure） VPN：虚拟专用网络（ VPN Virtual Private Network） WEB：互联网（ World Wide Web） 5　云服务客户信息安全框架 5.1　云服务安全责任共担原则 云计算安全责任共担原则是云计算领域的共识，包括： a)基于云计算安全责任共担模型原则； b)云服务客户的安全责任宜符合 YD/T4060-2022 第5章对IaaS、PaaS、SaaS各类云服务客户 安全责任的 要求。 5.2　云服务客户信息安全管理框架 云服务客户用云过程通常包括规划准备 、选择服务商与部署 、运行与监控 、退出服务四个阶段 ，并