欢迎user
中央网信办同相关部门建立云计算服务安全审查机制,依据《关于加强党政部门云计算服务网络安全管理的意见》、《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)对云平台和云服务商进行安全审查。
H3C云安全审查咨询服务依托强大的安全专家团队依据《信息安全技术 云计算服务安全能力要求》标准从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全的10个维度评估,提出当前云服务商和云平台的安全风险,进行差距分析和制定解决方案,满足云安全标准的同时也提升云平台安全防护能力。
H3C采用云计算服务的低开销、高效率和基于风险的方法,制定了满足云计算安全控制措施的要求计划,包括策略与规程、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全,目的是为满足云服务和产品标准的评估,以改善置信度和促进对云计算环境的信任。
H3C云安全审查咨询服务分为一般型和增强型两个级别,与《信息安全技术 云计算服务安全能力要求》标准的要求项对应。
以下内容较复杂,建议在PC上浏览。
在PC浏览器上输入c.h3c.com.cn,按页面操作,即可同步到PC上继续浏览。
继续手机浏览
H3C 云安全审查咨询服务为客户提供云计算安全的中短期规划设计咨询服务,服务交付人员需要详细了解云服务商现有安全能力和云平台现有的安全架构,深入分析客户业务系统现状,以满足标准为导向的调整现有的安全措施。
H3C云计算咨询服务内容如下图所示:
服务名称 | 服务描述 |
项目启动阶段 | H3C服务专家将根据云安全审查咨询需求,通过电话或现场交流的方式,与客户确认项目交付方式、范围、目标、计划等信息,本阶段H3C主要工作内容如下: 建立项目组 明确项目组成员,建立项目通讯录 明确项目组内部分工和沟通汇报关系 召开项目启动会 明确项目范围和目标 明确项目组范围和分工界面 明确项目组交付物 明确知识产权和签署保密协议 SSP填写培训 明确SSP填写规范性 明确SSP证据准备规范性 确定沟通汇报机制 明确接口人员和沟通汇报方式 制定项目计划 制定详细项目计划 确定项目变更流程 建立项目的风险管理机制 |
申请审查阶段 | H3C服务专家将采用资料查阅、访谈、信息收集及现场调研等方式,收集云服务商和云平台的现状信息,将收集的信息分类汇总,按网信办下发模板进行填写。本阶段H3C工作内容和方法如下: 服务商的基本情况说明 服务商基本情况了解 云平台基本情况了解 服务商资质梳理 服务手册 服务白皮书 服务合同说明 服务合同梳理 服务基本情况说明 对云平台现有的业务和将迁移的业务进行梳理 明确项目终极目标 以网信办下发的模板为导向,向网信办提交审查申请 输出 《背景资料》 《供应链资料》 |
SSP材料准备阶段 | H3C服务专家根据《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)标准与云服务商及云平台进行对标,准备SSP填写及对应的证据。本阶段H3C工作内容和方法如下: SSP填写 评估现有的安全措施与安全状态,与标准进行对标 从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全十个维度进行调研 调研方式为资料查阅、上机操作、人员访谈、渗透测试等 调研对象包含云平台所涉及的资源和云服务商及供应商等 SSP材料准备 以评估分析结果为基础,满足标准项的材料进行归类整理 从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全十个维度进行分类,以网信办提供的模板对满足标准项的材料进行标准化 SSP整改方案 以评估分析结果为基础,不满足的标准项和部分满足的标准项从管理和技术层面提出整改方案,并监督整改 整改由客户落地完成,H3C负责提供整改方案 对整改结果再次评估,直到满足标准项 项目组内部评估 SSP填写完成后,模拟评估机构对云服务商和云平台进行评估 输出 《系统安全计划SSP》 《第三方评估结果》 《证据库》 |
测评机构现场评估阶段 | 根据SSP准备阶段的工作结果,网信办委托第三方测评机构进行现场评估。H3C为客户提供现场应答及解疑。H3C主要工作内容如下: 云服务商和云平台基本情况的陈述 配合测评机构现场证据的验证 对测评机构的提问进行解答 |
项目验收阶段 | H3C服务专家组织项目验收会议,提交项目中涉及的所有材料,归还所有账号等后续工作。 |
从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全着手,强调云平台与云服务商强相结合,共筑安全防御;
参考《关于加强党政部门云计算服务网络安全管理的意见》、《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)标准,对云服务商和云平台进行对标,提升云平台安全防御能力;
H3C根据自身在云计算领域深入的研究和积累,对存在的安全风险点给出整改方案,满足审查要求。
售前咨询
H3C售前工程师在线为您提供帮助