中国 TC260 国家標準 「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案 (2024.02.04)
こんにちは、丸山満彦です。
中国の家情報セキュリティ標準化技術委員会 (TC260) が「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案を公表し、意見募集をしていますね。。。
これは、中国独自の標準ですかね。。。
引用標準としては、
| GB/T 25069 信息安全技术 术语 | GB/T 25069 情報セキュリティ技術用語集 |
| GB/T 31167—2023 信息安全技术 云计算服务安全指南 | GB/T 31167-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイドライン |
| GB/T 31168—2023 信息安全技术 云计算服务安全能力要求 | GB/T 31168-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティ能力要件 |
| GB/T 37972—2019 信息安全技术 云计算服务运行监管框架 | GB/T 37972-2019 情報セキュリティ技術クラウドコンピューティングサービス運営規制枠組み |
の4つがあります...
・2024.02.04 关于国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿征求意见的通知
ドラフトはこちら...
・[PDF] 信息安全技术 云计算服务安全能力评估方法-标准文本 (downloaded)
目次...
| 前言 | 前書き |
| 引言 | 序文 |
| 1 范围 | 1 範囲 |
| 2 规范性引用文件 | 2 引用規格 |
| 3 术语和定义 | 3 用語と定義 |
| 4 缩略语 | 4 略語 |
| 5 概述 | 5 概要 |
| 5.1 评估原则 | 5.1 アセスメントの原則 |
| 5.2 评估内容 | 5.2 アセスメントの内容 |
| 5.3 评估证据 | 5.3 アセスメントの証拠 |
| 5.4 评估实施过程 | 5.4 アセスメント実施プロセス |
| 5.5 综合评估 | 5.5 総合アセスメント |
| 6 系统开发与供应链安全评估方法 | 6 システム開発及びサプライチェーンのセキュリティアセスメントの方法論 |
| 6.1 资源分配 | 6.1 資源配分 |
| 6.2 系统生命周期 | 6.2 システムライフサイクル |
| 6.3 采购过程 | 6.3 調達プロセス |
| 6.4 系统文档 | 6.4 システムの文書化 |
| 6.5 关键性分析 | 6.5 重要度分析 |
| 6.6 外部服务 | 6.6 外部サービス |
| 6.7 开发商安全体系架构 | 6.7 開発者セキュリティアーキテクチャ |
| 6.8 开发过程、标准和工具 | 6.8 開発プロセス、標準及びツール |
| 6.9 开发过程配置管理 | 6.9 開発プロセスの構成管理 |
| 6.10 开发商安全测试和评估 | 6.10 開発者セキュリティテストと評価 |
| 6.11 开发商提供的培训 | 6.11 開発者が提供するトレーニング |
| 6.12 组件真实性 | 6.12 コンポーネントの真正性 |
| 6.13 不被支持的系统组件 | 6.13 サポートされないシステムコンポーネント |
| 6.14 供应链保护 | 6.14 サプライチェーンの保護 |
| 7 系统与通信保护评估方法 | 7 システムと通信の保護評価手法 |
| 7.1 边界保护 | 7.1 境界防御 |
| 7.2 传输保密性和完整性 | 7.2 送信の機密性と完全性 |
| 7.3 网络中断 | 7.3 ネットワーク停止 |
| 7.4 可信路径 | 7.4 信頼された経路 |
| 7.5 密码使用和管理 | 7.5 パスワードの使用と管理 |
| 7.6 设备接入保护 | 7.6 機器のアクセス保護 |
| 7.7 移动代码 | 7.7 モバイルコード |
| 7.8 会话认证 | 7.8 セッション認証 |
| 7.9 恶意代码防护 | 7.9 悪意のあるコードの保護 |
| 7.10 内存防护 | 7.10 メモリ保護 |
| 7.11 系统虚拟化安全性 | 7.11 システム仮想化のセキュリティ |
| 7.12 网络虚拟化安全性 | 7.12 ネットワーク仮想化のセキュリティ |
| 7.13 存储虚拟化安全性 | 7.13 ストレージ仮想化のセキュリティ |
| 7.14 安全管理功能的通信保护 | 7.14 セキュリティ管理機能の通信保護 |
| 8 访问控制评估方法 | 8 アクセス制御の評価方法 |
| 8.1 用户标识与鉴别 | 8.1 ユーザ識別と認証 |
| 8.2 标识符管理 | 8.2 識別子の管理 |
| 8.3 鉴别凭证管理 | 8.3 識別認証情報管理 |
| 8.4 鉴别凭证反馈 | 8.4 認証クレデンシャルのフィードバック |
| 8.5 密码模块鉴别 | 8.5 パスワードモジュール認証 |
| 8.6 账号管理 | 8.6 アカウント管理 |
| 8.7 访问控制的实施 | 8.7 アクセス制御の実装 |
| 8.8 信息流控制 | 8.8 情報フロー制御 |
| 8.9 最小特权 | 8.9 最小特権 |
| 8.10 未成功的登录尝试 | 8.10 ログイン試行失敗 |
| 8.11 系统使用通知 | 8.11 システム利用通知 |
| 8.12 前次访问通知 | 8.12 前回のアクセス通知 |
| 8.13 并发会话控制 | 8.13 同時セッション制御 |
| 8.14 会话锁定 | 8.14 セッションのロックアウト |
| 8.15 未进行标识和鉴别情况下可采取的行动 | 8.15 識別及び認証に失敗した場合に取り得る措置 |
| 8.16 安全属性 | 8.16 セキュリティ属性 |
| 8.17 远程访问 | 8.17 リモートアクセス |
| 8.18 无线访问 | 8.18 無線アクセス |
| 8.19 外部信息系统的使用 | 8.19 外部情報システムの利用 |
| 8.20 可供公众访问的内容 | 8.20 一般にアクセス可能なコンテンツ |
| 8.21 Web访问安全 | 8.21 ウェブアクセスのセキュリティ |
| 8.22 API访问安全 | 8.22 APIアクセスのセキュリティ |
| 9 数据保护评估方法 | 9 データ保護の評価方法 |
| 9.1 通用数据安全 | 9.1 一般的なデータセキュリティ |
| 9.2 介质访问和使用 | 9.2 メディアへのアクセスと利用 |
| 9.3 剩余信息保护 | 9.3 残留情報の保護 |
| 9.4 数据使用保护 | 9.4 データ利用保護 |
| 9.5 数据共享保护 | 9.5 データ共有の保護 |
| 9.6 数据迁移保护 | 9.6 データ移行の保護 |
| 10 配置管理评估方法 | 10 構成管理の評価方法 |
| 10.1 配置管理 | 10.1 構成管理 |
| 10.2 基线配置 | 10.2 ベースライン構成 |
| 10.3 变更控制 | 10.3 変更管理 |
| 10.4 配置参数的设置 | 10.4 構成パラメータの設定 |
| 10.5 最小功能原则 | 10.5 最小機能の原則 |
| 10.6 信息系统组件清单 | 10.6 情報システム構成要素一覧 |
| 11 维护管理评估方法 | 11 保守管理の評価方法 |
| 11.1 受控维护 | 11.1 管理保守 |
| 11.2 维护工具 | 11.2 保守ツール |
| 11.3 远程维护 | 11.3 遠隔保守 |
| 11.4 维护人员 | 11.4 メンテナンススタッフ |
| 11.5 及时维护 | 11.5 適時メンテナンス |
| 11.6 缺陷修复 | 11.6 欠陥の修復 |
| 11.7 安全功能验证 | 11.7 安全機能の検証 |
| 11.8 软件和固件完整性 | 11.8 ソフトウェアとファームウェアの完全性 |
| 12应急响应评估方法 | 12 緊急時対応の評価手法 |
| 12.1事件处理计划 | 12.1 事故対応計画 |
| 12.2事件处理 | 12.2 事故処理 |
| 12.3事件报告 | 12.3 インシデント報告 |
| 12.4事件处理支持 | 12.4 インシデント対応サポート |
| 12.5安全报警 | 12.5 セキュリティ警告 |
| 12.6错误处理 | 12.6 エラー処理 |
| 12.7应急响应计划 | 12.7 緊急対応計画 |
| 12.8应急培训 | 12.8 緊急対応訓練 |
| 12.9应急演练 | 12.9 緊急時対応訓練 |
| 12.10信息系统备份 | 12.10 情報システムのバックアップ |
| 12.11支撑客户的业务连续性计划 | 12.11 顧客支援のための事業継続計画 |
| 12.12电信服务 | 12.12 電気通信サービス |
| 13 审计评估方法 | 13 監査の評価方法 |
| 13.1 可审计事件 | 13.1 監査対象事象 |
| 13.2 审计记录内容 | 13.2 監査記録の内容 |
| 13.3 审计记录存储容量 | 13.3 監査記録の保存容量 |
| 13.4 审计过程失败时的响应 | 13.4 監査プロセスが失敗した場合の対応 |
| 13.5 审计的审查、分析和报告 | 13.5 監査レビュー、分析、報告 |
| 13.6 审计处理和报告生成 | 13.6 監査処理およびレポート生成 |
| 13.7 时间戳 | 13.7 タイムスタンプ |
| 13.8 审计信息保护 | 13.8 監査情報の保護 |
| 13.9 抗抵赖性 | 13.9 否認防止 |
| 13.10 审计记录留存 | 13.10 監査記録の保持 |
| 14 风险评估与持续监控评估方法 | 14 リスクアセスメントと継続的モニタリングの評価方法 |
| 14.1 风险评估 | 14.1 リスク評価 |
| 14.2 脆弱性扫描 | 14.2 脆弱性スキャン |
| 14.3 持续监控 | 14.3 継続的モニタリング |
| 14.4 信息系统监测 | 14.4 情報システムの監視 |
| 14.5 垃圾信息监测 | 14.5 スパム監視 |
| 15 安全组织与人员 | 15 セキュリティ組織と人員 |
| 15.1 安全策略与规程 | 15.1 セキュリティ方針と手順 |
| 15.2 安全组织 | 15.2 セキュリティ組織 |
| 15.3 岗位风险与职责 | 15.3 職務リスクと責任 |
| 15.4 人员筛选 | 15.4 人員の選別 |
| 15.5 人员离职 | 15.5 人員の分離 |
| 15.6 人员调动 | 15.6 人員の異動 |
| 15.7 第三方人员安全 | 15.7 第三者の人的セキュリティ |
| 15.8 人员处罚 | 15.8 人的制裁 |
| 15.9 安全培训 | 15.9 安全トレーニング |
| 16 物理与环境安全评估方法 | 16 物理的および環境的安全性評価方法論 |
| 16.1 物理设施与设备选址 | 16.1 物理的施設・設備の配置 |
| 16.2 物理和环境规划 | 16.2 物理的環境計画 |
| 16.3 物理环境访问授权 | 16.3 物理的環境へのアクセス許可 |
| 16.4 物理环境访问控制 | 16.4 物理的環境アクセス制御 |
| 16.5 输出设备访问控制 | 16.5 出力機器アクセス制御 |
| 16.6 物理访问监控 | 16.6 物理的アクセス監視 |
| 16.7 访客访问记录 | 16.7 ゲストアクセスロギング |
| 16.8 设备运送和移除 | 16.8 機器の配信と削除 |
| 附录A(资料性)常见云计算服务脆弱性问题 | 附属書A (参考)クラウドコンピューティングサービスに共通する脆弱性の問題 |
| 参考文献 | 参考文献 |
ちなみに、ISO/IEC 27001, 27005の中国版の標準も意見募集がされていました。。。
| 2024.01.04 | 关于国家标准《信息安全技术 信息安全风险管理指导》征求意见稿征求意见的通知 | 国家標準「情報セキュリティ技術情報セキュリティリスク管理ガイダンス」に関する意見募集の通知 | ISO/IEC 27005 |
| 2024.01.04 | 关于国家标准《信息安全技术 信息安全管理体系 要求》征求意见稿征求意见的通知 | 国家標準「情報セキュリティ技術 情報セキュリティマネジメントシステム要件」に関する意見募集の通知 | ISO/IEC 27001 |
Comments