ICS 35.240 CCS L67 YD 中华人民共和国通信行业标准 YD/T [×××××] —[××××] [代替YD/T] 云计算风险管理框架 Cloud computing management framework [点击此处添加与国际标准一致性程度的标识 ] （报批稿） [点击此处添加本稿完成日期 ] [××××] -[××]-[××]发布 [××××] -[××]-[××]实施 中华人民共和国工业和信息化部 发 布 YD/T ×××××—×××× I 目　　次 前　　言 ............................................................................. III 1 范围 ............................................................................. 1 2 规范性引用文件 ................................................................... 1 3 术语和定义 ....................................................................... 1 4 概述 ............................................................................. 2 5 风险管理组织架构 ................................................................. 3 6 风险评估 ......................................................................... 3 6.1 风险识别 ..................................................................... 3 6.2 风险估算 ..................................................................... 8 7 风险处置 ......................................................................... 8 7.1 风险降低 ..................................................................... 9 7.2 风险保持 ..................................................................... 9 7.3 风险回避 ..................................................................... 9 7.4 风险转移 ..................................................................... 9 8 风险接受 ......................................................................... 9 9 风险沟通 ......................................................................... 9 10 风险监测 ....................................................................... 10 附 录 A(资料性) 云计算风险管理能力评估指标及权重 ................................. 11 YD/T ×××××—×××× II 前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规则 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、浪潮通信技术有限公司、西安邮电大学、 华为技术有限 公司、腾讯云计算（北京）有限责任公司 本文件主要起草人：栗蔚、郭雪、王方、孔松、王佩、张勇 、卫斌、吴江伟、吴倩琳、韩非、王 睿宁、宋继达、赵华、符海芳、蒋增增、武献雨、傅帅、张春源、杜建伟、李小庆、宋敬海 YD/T ×××××—×××× 1 1　范围 本文件规定了云计算风险管理框架，针对云计算运行过程中面临的服务不可用、数据丢失、数据 泄露等风险后果提出管理方法，云计算风险管理过程包括风险评估、风险处置、风险接受、风险沟通 以及风险监视和评审等内容。 本文件适用于云计算企业对云计算涉及的所有系统、人员、管理制度进行风险管理，帮助云计算 厂商控制云计算对外运营的风险，帮助云服务客户选择风险可控的云计算厂商。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 32400-2015 信息技术 云计算 概览与词汇 3　术语和定义 3.1　 云计算 cloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 [来源：GB/T 32400-2015 ，3.2.5] 3.2　 云计算服务 cloud computing service 使用定义的接口，借助云计算提供一种或多种资源的能力。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 [来源：GB/T 31168-2014 ，3.2] 3.3　 云计算厂商 cloud service provider 云计算风险管理框架 YD/T ×××××—×××× 2云计算的供应方。 注：云计算厂商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。 [来源：GB/T 31168-2014 ，3.3] 3.4　 风险 risk 事态的概率及其结果的组合。 [来源：GB/T 22081-2008 ，2.9] 3.5　 风险评估 risk assessment 风险分析和风险评价的整个过程。 [来源：GB/T 22081-2008 ，2.11] 3.6　 风险管理 risk management 指导和控制一个组织相关风险的协调活动。 注：风险管理一般包括风险评估、风险处置、风险接受和风险沟通。 [来源：GB/T 22081-2008 ，2.13] 3.7　 风险处置 risk treatment 选择并且执行措施来更改风险的过程。 [来源：GB/T 22081-2008 ，2.14] 3.8　 威胁 threat 可能导致对系统或组织的损害的不期望事件发生的潜在原因。 [来源：GB/T 22081-2008 ，2.16] 3.9　 脆弱性 vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点。 [来源：GB/T 22081-2008 ，2.17] 4　概述 本文件规定了云计算风险管理框架，云计算风险管理流程包括风险评估、风险处置、风险接受、 风险沟通以及风险监视和评审。 YD/T ×××××—×××× 3风险评估需要对云计算关键点包括基础设施、网络、计算资源、存储资源、应用、业务、数据、 管理规范、运维运营、风险整合划分等进行识别，并对风险管控措施进行识别，根据风险识别结果估 算出风险概率。风险估算后进行风险处置，包括风险转移、风险降低、风险保持和风险回避。 风险管理过程可能循环进行风险评估和风险处置活动 ,如图 1所示。 图1 云计算风险管理流程 5　风险管理组织架构 云计算厂商应具备风险管理小组，整体负责云计算风险管理工作。 a) 制定云计算风险管理基本制度和管理办法，建立适用于全公司的风险控制标准； b) 落实风险管理要求，协调和监督风险管理制定执行，定期对云计算平台开展风险评估，根据 风险评估结果选择风险处置的形式。 6　风险评估 6.1　风险识别 6.1.1　概述 风险识别的目的是确定可能发生什么将导致潜在的损失，包括云计算关键点识别、威胁识别、脆 弱点识别、风险管控措施识别。 6.1.2　云计算关键点识别 云计算涉及基础设施、网络、计算资源、存储、应用、业务、数据