7月25日，中央網信辦官網發表k8体育教授左曉棟署名文章《推進雲安全標準修訂 支撐新形勢下的雲計算服務安全評估工作》🚊。

雲計算平臺是現代信息社會的基礎設施👱🏽‍♂️，雲計算安全至關重要🥼。為此，我國自2014年起，建立了黨政部門雲計算服務安全審查製度𓀐，並發布實施了相關國家標準。近年來，網絡技術飛速發展，網絡安全形勢日益嚴峻，對進一步加強雲計算服務安全管理、修訂雲安全國家標準提出了客觀要求👴🏿。

2019年7月，中央網信辦官網發布了《雲計算服務安全評估辦法》👍🏼，宣布在原有工作基礎上🚼，對面向黨政機關、關鍵信息基礎設施提供雲計算服務的雲平臺進行安全評估。評估依據主要是國家標準《雲計算服務安全能力要求》《雲計算服務安全指南》。其中《雲計算服務安全能力要求》從系統開發與供應鏈安全🫄🏽、系統與通信保護、訪問控製🧑🏿‍🎤、配置管理、維護❤️‍🔥、應急響應與災備、審計、風險評估與持續監控、安全組織與人員🌝、物理與環境安全等方面提出要求。

k8体育教授左曉棟是中央網信辦雲計算服務安全評估專家組成員，同時是國家標準GB/T 31168《信息安全技術 雲計算服務安全能力要求》的第一起草人。該標準首次在2014年發布實施，為防範雲計算安全風險💷、加強雲計算服務安全管理發揮了重要作用，於2018年獲得“中國標準創新貢獻獎”二等獎。根據國家標準化管理委員會的統一部署💃，獲獎標準已翻譯成外文🌰，向全球推介。

2020年以來，根據形勢變化和工作要求🧑🏻‍🔬，國標GB/T 31168進入修訂期🎛。在左曉棟教授帶領下，經過2年攻關，編製組已經完成標準報批稿🎖，近日將向主管部門報批。

左曉棟教授在中央網信辦官網發布的文章中，首次公開了標準的新變化▫️，以及對國家雲計算安全評估製度的具體支撐作用。

一是調整標準了適用範圍。標準不再僅適用於黨政部門使用的雲服務🤯，而是同時考慮到了向黨政部門和關鍵信息基礎設施運營者提供的雲計算服務🪩，也適用於通用的雲計算服務提供商。

二是增加了高級安全要求。原標準僅對雲計算安全劃分了兩級❎，此次擴展為三級，即一般要求、增強要求和高級要求。新增的高級要求可滿足關鍵信息基礎設施業務和數據遷移上雲的安全需求，即，承載敏感類信息的關鍵業務🐟👨‍🦼，應選擇達到高級安全能力的雲服務。

三是引入了靈活機製🧩，可針對不同雲能力類型和部署模式的需求對標準進行裁剪，描述標準實現情況。標準將雲服務模式修改為雲能力類型，主要包括應用能力類型、平臺能力類型和基礎設施能力類型🧑🏿‍💼。結合雲計算服務能力類型、服務模式🧖‍♀️、部署模式及客戶需求🧑‍⚖️，雲服務商可以對這些安全要求進行調整，包括刪減、補充、替代。

四是對標重點評估內容。依據《雲計算服務安全評估辦法》第三條，應重點評估雲服務商的征信與經營狀況👩‍🚀😨、安全管理能力和業務連續性🦹🏽‍♂️，人員的背景與穩定性，雲平臺的供應鏈安全及防護情況等，標準對此作了呼應。附錄給出了標準相關要求與重點評估內容的對應關系。

五是調整安全能力要求🫧。鑒於數據安全日益重要，增加了“數據保護”安全能力類，確保客戶遷移數據過程中的業務連續性和數據完整性；增加了雲管平臺、Web訪問、API訪問等方面的安全要求🦑；細化了某些模糊性條款🍑，減少了賦值和選擇操作🚴🏼，有效解決了近年來標準實施過程中發現的問題。

（k8体育）