云平台服务商能力评估

2023年2月28日 写评论

评估内容 子域 安全要求
1 运营资质方面 1.1 具备公安部、工信部、网信办或行业监管部门如市场监管总局、市场监管局、行业部门审批通过的营业资格
1.2 具备独立的ISP ICP运营资质
1.3 具备至少3个同行业案例
1.4 具备属地运营资格
1.5 具备跨地域运营资格
1.6 通过CCSK/CSTAR认证
1.7 通过至少等级保护3级认证

  1. 管理领域 2.1 具备完整的ITOM/ITSM/ISSM体系
    2.2 具备完整的云安全评估体系和服务支持体系
    2.3 核心人员、主要人员具备相应的认证和任职资格
    2.4 具备完整的流量分析、溯源、日志分析能力、威胁检测能力
    2.5 具备清晰的组织架构、职能职责分工定义
    2.6 具备完整、清晰的应急响应机制、流程、组织、人员,开展过应急响应及恢复演练
    2.7 具备相对完整的应急预案体系,开展过应急演练
    2.8 相关人员的授权、审批得到其他客户的好评
    2.9 具备完整、清晰的供应商、服务商管理体系
    2.10 具备完整、清晰的采购流程、供应商评估机制
    2.11 至少开展过一次重保、护网等行动,并取得良好成绩,需提供证明
    3 产品领域 3.1 云平台所采购的、使用的设备(网络类、安全类、监控类、备份类) ,需在公安部许可证网站可查询,或原厂出具的知识产权、专利著作、版权证明
    3.2 云平台所使用、运行的相关系统、设备,需为完整授权
    3.3 云平台的服务商不得为境外、国外机构
    3.4 云平台的主要服务人员中,不得有境外、国外人员,不得有无国籍人士,多国籍人士
    3.5 供应商的相关能力,与上述2 管理领域等同
    3.6 供应商的人员要求,与上述2 管理领域等同
    3.7 云平台所采用的加密类能力,必须符合国密SM4/SM9标准,必须为国内符合要求的产品或系统
    4 技术领域 4.1 云平台层 4.1.1 至少满足等保2.0三级+云计算拓展要求
    4.1.2 取得中央网信办联合四部委出台的 网络安全评估办法(云合规)的公示(中央网信办公示的可查询)
    4.1.3 通过3 级密评含以上
    4.1.4 符合对租户个人信息保护的相关法律法规 (隐私性保护)并且提供证据
    4.2 基础设施层 4.2.1 具备可靠的容灾备份能力(比如两地三中心、多地N中心等)
    4.2.2 网络出口是否有三线接入(三大运营商)并且是多线路主备 以及bgp网络和支持ipv6;
    4.2.3 是否有专门的云平台级运维专线;并且运维专线是支持国密vpn和堡垒机(堡垒机必须保证双因素认证其中一个是usbkey)提供证明;
    4.2.4 核心业务出口和平台运维线路是否流量分开隔离 ;
    4.2.5 业务流量出口是否有高防(高防ip)并且提供证明支持多少带宽
    4.3 威胁通知机制 当云平台出现外围基础网络,外围基础安全,平台(存储计算网络等)问题影响租户正常业务使用使用时 必须有通知租户的机制 制度流程 和响应时间等
    4.4 租户产品管理 4.4.1 提供完整的租户安全产品体系;包括1) 网络安全级别2) 主机安全级别 3) 容器安全级别 4)安全运维级别(比如虚拟化堡垒机 虚拟化vpn),相关产品、设备的选型需符合上述3.1/3.2/3.3/3.4/3.7/4.1.1要求
    4.4.2 有可选的租户级安全人员服务 比如 安全检测 重保 hw 等服务 也可以单项 漏洞扫描 基线检查 渗透测试 白盒源代码审计 等等 提供证明)
    4.4.3 对租户提供完整数据安全体系产品(提供证明)
    4.4.4 对租户是否提供了完整的密码,密钥等管理认证体系(包含国产密码机托管,证书颁发申请管理,kms 等)提供证据
    4.5 安全管理中心 4.5.1 拥有完整的安全感知平台 以及 应急处置流程
    4.5.2 并且当租户发生被网络攻击问题时能第一时间通知租户协助租户进行应急处置 (提供证据)
    4.5.3 其它参考上述2.1-2.7 及4.3 的要求
    4.6 域名备案 4.6.1 必须提供单独的域名解析和域名系统,不接受子域名方式
    4.6.2 可提供单独的解析能力和解析资源
    4.7 测评配合 4.7.1 当租户要通过等保,密评等测评时,须提供配合提交相关材料 比如云平台身的测评报告 配合租户通过测评
    4.7.2 当租户要开展数据保护、个人保护、隐私保护时,须配合并进行必要的整改, 配合租户通过测评
    4.7.3 当租户要开展合规检查、测评认证时,须配合并进行必要的整改, 配合租户通过测评与认证
    4.8 审计配合 4.8.1 当租户被审计、被调查、被审查时,须配合并进行必要的整改, 配合租户通过测评
    4.8.2 当租户要求对云平台、网络、安全能力、日志、运行状态、运营管理等方面进行审计、抽样、调查、数据提取时,须配合并提供相关数据、日志、行为、报告、记录等,不得以不合理的理由拒绝
    4.9 数据保护 4.9.1 须提供证据证明云平台在数据安全、数据保护、传输保护、数据加密、日志、审计等方面的能力
    4.9.2 须提供证据证明云平台在个人信息安全、隐私保护、数据去标识化、数据脱敏、数据加密、日志、审计等方面的能力

发表评论

电子邮件地址不会被公开。 必填项已用*标注