ICS35.040 CCSL80 团体标准 T/CIIA059—2025 政务云平台大规模云租户 网络安全等级保护测评实施指南 Testingandevaluationimplementationguide forcybersecurityclassifiedprotection oflarge-scalecloudtenantsongovernmentcloudplatform 2025-08-29发布 2025-08-29实施 中国信息协会  发布 全国团体标准信息平台 T/CIIA059—2025 I目次 前 言..................................................................II 引 言.................................................................III 1.范围.....................................................................1 2.规范性引用文件...........................................................1 3.术语和定义...............................................................1 4.大规模政务云租户等级测评概述.............................................2 4.1角色和责任.............................................................2 4.2大规模政务云租户等级测评总体流程.......................................3 5.测评实施过程.............................................................3 5.1测评准备活动...........................................................3 5.2方案编制活动...........................................................4 5.3现场测评活动...........................................................5 5.4报告编制活动...........................................................6 附录A（资料性）大规模云租户测评指标复用情况（标准场景）.....................8 全国团体标准信息平台 T/CIIA059—2025 II前言 为规范政务云平台大规模云租户网络安全等级保护工作，落实网络安全等级保护相关要求，根据国家 标准GB/T22239-2019《信息安全技术网络安全等级保护基本要求》和公安部文件《关于落实网络安全保 护重点措施深入实施网络安全等级保护制度的指导意见》（公网安〔2022〕1058号），针对政务云平台 大规模云租户的具体情况，特制定《政务云平台大规模云租户网络安全等级保护测评实施指南》。本文件 中大规模云租户指在同一个政务云平台上承载多个信息系统的租户或租户集合体。其测评工作量与规模特 性密切相关，采用本指南提出的测评实施模式可有效提升测评效率；承载系统数量越多，效率提升效益通 常越显著。政务云租户均可参考本指南开展等级测评工作，以优化测评流程、提升资源效能。 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由中国信息协会提出并归口。 本文件起草单位：国家信息中心、广西壮族自治区公安厅、安徽省公安厅网安总队、新疆维吾尔自治 区公安厅、上海市公安局、北海市公安局、合肥市公安局、安庆市公安局、新疆维吾尔自治区信息中心、 广西壮族自治区信息中心、安徽省大数据中心、北海市信息中心、上海市总工会、北海市互联网信息安全 中心、上海市信息安全测评认证中心、中检集团天帷网络安全技术（合肥）有限公司。 本文件主要起草人：禄凯、陈永刚、赵佳璐、李格菲、赵帅、尚庆军、刘云飞、葛晓囡、赵云程、肖 劲华、房锟、杨波、任仁、唐珂、阿依登·塔布斯、王昱镔、郭晓栋、严毅恒、朱斌、韦宇星、朱典、武 建双、朱建树、许观就、白荣华、吴新民、周礼昊、罗杰、李菁、刘洋、王雅莉等。 全国团体标准信息平台 T/CIIA059—2025 III引言 随着数字政府建设的深入推进，政务云租户规模持续扩大，通过规范政务云平台大规模云租户测评流 程，明确测评实施关键任务，规范各方职责边界，可保障测评工作高质量、高效率完成。《计算机信息系 统安全保护等级划分准则》（GB17859-1999）、《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）等标准，是政务 云平台大规模云租户网络安全等级保护遵从的基本标准。本文件是针对政务云平台大规模云租户现状、技 术特点和安全防护要求，对政务云平台大规模云租户等级保护测评实施过程做的细化和扩展，本文件未提 到部分均按《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）执行。 全国团体标准信息平台 T/CIIA059—2025 1政务云平台大规模云租户 网络安全等级保护测评实施指南 1.范围 本文件规定了政务云平台大规模云租户网络安全等级保护测评流程和测评实施关键任务，上述政务云 平台应已按属地公安机关相关要求通过本年度等级测评。 本文件适用于指导政务云平台大规模云租户网络安全等级保护工作的实施，也可为其他类型云平台大 规模云租户等级测评提供参考。 本文件中的云计算服务模式为IaaS模式，PaaS和SaaS可参考。 2.规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文 件。 GB17859计算机信息系统安全保护等级划分准则 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T25069-2022信息安全技术术语 GB/T28448-2019信息安全技术网络安全等级保护测评要求 GB/T28449-2018信息安全技术网络安全等级保护测评过程指南 GB/T31168-2023信息安全技术云计算服务安全能力要求 GB/T38249-2019信息安全技术政府网站云计算服务安全指南 GW0013-2017国家电子政务外网标准政务云安全要求 3.术语和定义 GB17859-1999、GB/T22239-2019、GB/T25069-2022、GB/T28448-2019和GW0013-2017界定的术语 和定义适用于本文件。 3.1 政务云governmentcloud 用于承载各级政务部门开展公共服务、社会管理的业务信息系统和数据,并满足跨部门业务协同、数 据共享与交换等的需要，提供IaaS、PaaS和SaaS服务的云计算服务。 [来源：GW0013-2017，3.1，有修改] 3.2 云租户cloudtenant 在政务云中，云租户指使用政务云的各级政务部门，即使用云计算基础设施开展电子政务业务和处理、 存储数据的组织(或机构)及相关事业单位。 全国团体标准信息平台 T/CIIA059—2025 2[来源：GW0013-2017，3.2，有修改] 3.3 云服务方cloudserviceparty 在政务云中，云服务方指为各级政务部门提供计算、存储、网络及安全等各类云计算基础设施资源、 相关软件和服务的提供商，并负责执行云服务方业务运营和相关管理工作。 [来源：GW0013-2017，3.3，有修改] 3.4 政务云管理单位governmentcloudmanagementunit 是政务云的行政监管单位，负责政务云平台的规划、应用、监督、管理及对云服务方的考核，审核云 服务客户的政务云平台使用需求。 [来源：GW0013-2017，3.4，有修改] 3.5 云管理平台cloudmanagementplatform 为整个云计算基础设施提供资源管理和服务管理，能够对存储/计算/网络/系统等基础设施资源进行 管理。 [来源：GW0013-2017，3.5，有修改] 3.6 首测阶段initialassessmentphase 首测阶段是等级测评的首次系统性评估过程，测评机构依据《信息安全技术网络安全等级保护基本 要求》（GB/T22239）及相关标准，通过访谈、核查和测试等手段，对被测系统的安全保护状况进行全面 检查，识别其与相应等级安全保护要求的符合性差距，形成问题清单并提出整改建议。 3.7 复测阶段re-assessmentphase 复测阶段是测评机构针对首测阶段发现的部分符合项/不符合项，验证被测单位整改措施有效性的过 程。 4.大规模政务云租户等级测评概述 4.1角色和责任 政务云平台大规模云租户网络安全等级保护测评过程中涉及的各类角色和职责如下： a）政务云管理单位 负责依照国家网络安全等级保护的管理规范和技术标准，统筹本行业、本部门或者本地区政务云的建 设、使用、运维、运营、