T/HBSGX 006-2025 云计算信息技术服务规范

标准号：T/HBSGX 006-2025

标准名称：云计算信息技术服务规范

团体名称：湖北省光电显示行业协会

发布日期：2025年12月25日

实施日期：2025年12月25日

信息安全管理

信息安全政策

云服务提供商应制定明确的信息安全政策，明确组织对信息安全的承诺和期望。

数据库管理的安全应满足GB/T20273第7章要求。

风险评估和处理

云服务提供商应定期进行风险评估，确定可能出现的威胁和漏洞，并采取适当的控制措施来减轻或消除风险。　

风险识别

云服务提供商需要识别与云计算服务相关的潜在风险，包括技术风险、操作风险、法律合规风险等。对于每个风险事件，要明确其可能性和影响程度。

风险分析

分析已识别的风险事件，了解其成因、发生的环境和影响，并对其进行分类和排序。重点分析对系统机密性、完整性、可用性以及用户数据隐私等方面的影响。

风险评估

根据风险识别和分析的结果，对每个风险事件的风险等级进行评估。通常采用定性或定量方法，确定风险的优先级和紧急度，以便针对不同风险采取相应的控制策略。

风险控制策略制定

根据风险评估的结果，制定相应的风险控制策略。这包括确定适当的防范控制措施，如访问控制、加密技术、网络安全设备等，以及实施监控和审计机制。

风险处理

根据已确定的风险控制策略，执行相应的控制措施，并建立适当的风险处理机制。这包括监测风险状况，进行预警和追踪，及时处理风险事件，减轻或消除其影响。

风险监督与改进

定期对已实施的风险控制措施进行监督与评估，确保其有效性。同时收集和分析相关数据，进行持续改进和优化，提高整体的信息安全水平。

安全组织架构

云服务提供商应建立与信息安全相关的组织架构，明确安全责任与权限，并设立专业的信息安全团队。

统架构的功能设计应满足GB/T37741-2019中第6章的规定。

资产管理

云服务提供商应识别和管理关键的信息资产，包括标记、分类、存储和保护数据，在数据使用、共享和备份过程中确保其机密性、完整性和可用性。

资产清单

建立并维护一个详尽的资产清单，包括硬件设备、软件程序、网络资源等。清单应包含资产的名称、型号、规格、序列号、位置等详细信息。

资产登记与归还流程

对于借用或租赁的资产，制定明确的登记与归还流程，记录资产的借用人、借用日期和归还日期，以确保资产的追踪和控制。

资产分类与标识

对资产进行分类和标识，以便更好地管理和跟踪。例如，分为硬件设备、软件程序、网络资源等，可以通过编号、标签或条形码进行标识。

　资产使用权限管理

为了确保安全性和机密性，对资产的使用进行权限管理。只有经过授权的员工才能访问和使用特定的资产，而且需要严格控制敏感信息的访问权限。

　定期设备检查和维护

制定定期的设备检查和维护计划，确保设备的正常运行和及时发现潜在问题。包括定期更新软件程序、杀毒软件、系统补丁等。

　资产保护与安全措施

采取适当的安全措施来保护资产免受非法访问、损坏或丢失。例如，加密重要数据、建立防火墙、安装视频监控等。

资产报废与处置

制定明确的资产报废与处置流程，包括数据清除、硬盘销毁和合规性检查等。同时，确保遵守相关环保法律法规进行合规的资产处置。

访问控制

云服务提供商应建立严格的访问控制策略和授权机制，限制系统和数据的访问权限，并监控和审计操作日志，以确保只有授权人员能够进行合法访问。

　身份验证

在用户访问云服务之前，需要进行有效的身份验证，以确保用户具有访问云服务所必需的权限。

　授权管理

确定用户可以访问的资源和权限，并根据这些权限来限制用户的操作。

　访问审计

记录用户对云服务的访问，以便监控和审计用户的活动。

　数据加密

对敏感数据进行加密保护，确保数据的机密性和完整性。

　安全更新

及时更新云服务的安全程序和补丁，以保障安全性。

　防火墙控制

通过防火墙策略来限制网络流量，防止未经授权的访问。

网络隔离

将云服务部署在隔离的网络环境中，防止网络攻击对整个系统造成威胁。

　备份和恢复

实施备份和恢复策略，确保数据丢失时能够及时恢复。

系统开发和维护

云服务提供商应采取安全的系统开发和维护措施，包括安全编码规范、漏洞修复策略、系统更新和补丁管理等。

安全监控和事件响应

云服务提供商应建立并操作安全监控系统，及时检测和响应潜在的安全事件，并能有效应对和处置安全事件。

信息安全培训与意识

云服务提供商应定期开展信息安全培训和教育活动，提高员工的信息安全意识和技能水平。

合规性和审计

服务提供商应遵守相关法律法规和合规性要求，接受第三方审计机构的安全审计，以验证其符合性。

　数据保护和隐私保护

数据保护

云计算服务提供者应采取合理的技术和组织措施，确保客户数据的机密性、完整性和可用性。

应制定数据备份和恢复机制，以防止数据丢失或意外访问。

应实施访问控制、身份验证和加密等安全措施来保护客户数据。

隐私保护

云计算服务提供者应明确收集、使用、存储和传输客户个人信息的目的，并获得客户的明示同意。提供者不得未经客户授权将其个人信息转移给第三方。

应采取适当的安全措施，确保客户个人信息的安全。

合规审查

云计算服务提供者应接受有关部门的监督和审查。他们应向有关部门履行报告义务，并协助调查有关数据保护和隐私保护方面的违法行为。

　服务可用性和性能

保障服务的可用性

云计算服务提供商应当提供稳定可靠的服务，确保用户可以在需要时随时获取到云计算资源。

服务提供商应当采取必要的措施，如备份数据、设立冗余系统等，预防因故障或自然灾害而导致服务中断的情况。

云计算信息技术服务系统在人员、流程、技术及资源方面应具备的条件和能力应满足GB/T36326-2018的要求。

起草单位：美华世纪（成都）科技有限公司、四川常乐帮网络科技有限公司、成都智为铭川科技有限公司、四川楠楠智羽科技有限公司、成都肖先生科技有限公司

起草人：陈洁、邓涛、吴志华、吴志毅、黄秋明