党政机关云服务安全指南：风险管理与服务商选择

"信息安全技术 云计算服务安全指南"是一份旨在为党政机关及关键信息基础设施运营者提供关于云计算服务安全的重要指导文件。该指南是在2019年11月发布的征求意见稿，计划于某个日期实施，由中国国家标准管理机构和多所高校、研究机构及企业共同参与制定。 主要内容涵盖了云计算的各个方面，包括云计算的基本概念、主要特征和分类，以及针对其特殊性质所带来的风险管理和安全管理。云计算服务的特点强调了其高效性和可扩展性，但同时也带来了数据集中和安全挑战。该指南着重于以下几个方面： 1. 云计算概述：解释了云计算的核心概念，如云能力类型（如IaaS, PaaS, SaaS）和服务类别，以及不同的部署模型（如公有云、私有云、混合云等）。 2. 风险管理：明确了云计算服务面临的风险类型，如数据泄露、服务中断、合规性问题等，并强调了安全风险管理的重要性，包括明确责任划分和基本安全要求。 3. 规划准备：提供了实施云计算服务前的规划步骤，如效益评估、信息和业务分类，以及安全保护要求，确保需求分析的准确性和决策报告的合理性。 4. 选择服务商与部署：明确了服务商的安全能力要求，包括对合同中涉及安全条款的审查，以及在部署过程中如何确保数据安全和系统的稳定性。 5. 运行监管：指出了客户和云服务商在服务运行期间的角色和责任，强调了对云服务商的监督，以及数据迁移和删除过程中的安全措施。 6. 退出服务：当需要结束合作关系时，指南提供了退出要求，包括数据转移的确定、完整性的验证和安全的数据删除策略。 这份标准对于任何采用云计算服务的组织来说，是保障信息安全、降低风险的关键参考资料，它结合了最新的技术和实践经验，以帮助用户更好地理解和应对云计算环境下的安全挑战。"