ICS 35.240.01 CCS L80 15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 2196—2021 大数据应用 云服务安全技术指南 Big data application－Technical guide for cloud service security 2021-05-25 发布 2021-06-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 2196—2021 目 次 前言 ................................................................................ III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 安全服务过程 ....................................................................... 2 4.1 4.2 4.3 4.4 4.5 5 概述 ........................................................................... 上云前安全分析与设计 ........................................................... 安全建设 ....................................................................... 安全运维 ....................................................................... 安全退出 ....................................................................... 2 3 3 3 3 上云前安全分析与设计 ............................................................... 3 5.1 上云安全评估及需求分析 ......................................................... 3 5.2 定级备案 ....................................................................... 4 5.3 新建系统安全方案设计 ........................................................... 4 6 安全建设 ........................................................................... 4 6.1 安全自测 ....................................................................... 6.1.1 概述 ....................................................................... 6.1.2 漏洞扫描 ................................................................... 6.1.3 配置核查 ................................................................... 6.1.4 代码审计 ................................................................... 6.1.5 应用渗透测试 ............................................................... 6.2 安全管理体系建设 ............................................................... 6.3 安全技术体系建设 ............................................................... 6.4 整改和加固 ..................................................................... 6.5 第三方测评 ..................................................................... 7 安全运维 ........................................................................... 5 7.1 安全运维体系建设 ............................................................... 7.2 安全运维实施 ................................................................... 7.2.1 日常安全运维 ............................................................... 7.2.2 安全监测 ................................................................... 7.2.3 安全通告 ................................................................... 7.2.4 应急预案及演练 ............................................................. 7.2.5 应急响应 ................................................................... 7.2.6 重大活动安全保障 ........................................................... 7.2.7 专项安全检查 ............................................................... 7.2.8 安全意识及培训 ............................................................. 8 4 4 4 4 4 4 5 5 5 5 5 5 5 5 6 6 6 6 6 6 安全退出 ........................................................................... 7 附录 A（资料性） 各阶段输入输出物 ..................................................... 8 I DB15/T 2196—2021 参考文献 .............................................................................. 10 II DB15/T 2196—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、北京信息安全测评中心。 本文件主要起草人：包瑞林、孙卫、林明峰、田丽丹、梁伟、李媛、王钢、李欢、崔连伟。 III DB15/T 2196—2021 大数据应用云服务安全技术指南 1 范围 本文件规定了云服务客户信息系统从迁移上云到退出云计算平台过程中各阶段的安全服务内容与 技术要求。 本文件适用于党政机关云计算平台使用单位、云服务商和云服务安全提供商。云安全测评机构也可 参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 32400 信息技术 云计算 概览与词汇 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 云服务商 cloud service provider 云计算服务的供应方。 [来源：GB/T 31167-2014，3.3] 3.2 云服务客户 cloud service customer 为使用云服务而处于一定业务关系中的参与方。 [来源：GB/T 31167-2014，3.4] 3.3 云计算平台 cloud computing platform 云服务商提供的云计算基础设施及其上的服务软件的集合。 [来源：GB/T 31167-2014，3.7] 3.4 1 DB15/T 2196—2021 云计算环境 cloud computing environment 云服务商提供的云计算平台，及客户在云计算平台之上部署的软件及相关组件的集合。 [来源：GB/T 31167-2014，3.8] 3.5 云服务安全提供商 cloud service security provider 支撑或协助云服务商或云服务客户的安全管理