全国信息安全标准化工作现状与下一步考虑

全国信息安全标准化委员会高级工程师王惠莅

全国信息安全标准化委员会高级工程师王惠莅在“云起苏州、共话安全——新时代云安全创新策略高层研讨会”上做了主题为《国家云计算安全标准制定工作介绍》的演讲。她表示已发布的国家标准，有GB/T31167-2014《信息安全技术 云计算服务安全指南》和GB/T31168-2014《信息安全技术云计算服务安全能力要求》，前一个标准标准主要面向政府部门，提出了使用云计算服务时的信息安全管理要求。第二个标准面向云服务商，提出了云服务商在为政府部门提供云计算服务时应该具备的信息安全能力要求两个标准在2014年-2015年在北京、上海、济南、成都、无锡和襄阳等6个城市进行了试点。是我国党政部门云计算服务安全管理的重要依据。

还介绍了6项在研标准，包括《信息安全技术 云计算安全参考架构》，《云计算服务安全能力评估方法》，《信息安全技术 云桌面安全技术要求》，信息安全技术 网站安全云防护平台技术要求，信息安全技术政府门户网站云计算服务安全指南，信息安全技术云计算服务持续监管框架及技术规范。

并表示下一步工作思考是，发布《云计算安全标准路线图》；采取国际标准化与国内标准化同步开展的策略，在积极开展国内标准化工作的同时，同步推进国际标准化工作，适时提出国际标准建议；广泛征求意见，结合试点工作，开展在研标准的验证工作；开展云桌面安全、云网站安全等产品标准的研制；结合国家网络安全审查需求，完善云计算服务网络安全审查支撑标准；结合新技术新应用的发展，探索云计算与大数据、云计算与智慧城市、云计算与关键信息基础设施等相关安全标准。