2023年2月4日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿。文件给出了依据GB/T 31168－2023《信息安全技术 云计算服务安全能力要求》，开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，云服务商在对自身云计算服务安全能力进行自评估时也可参考。标准主要内容的确定既参考了国外相关标准和实践，同时也主要由我国云计算服务安全评估工作的经验凝聚而来。

编制背景

云计算是信息技术产业发展的战略重点，国外政府重视云计算在政府部门的应用以及云计算节约资源服务便捷的优势，通过制定云计算发展战略和相关政策法规，为云计算的良性发展提供保障。2010年12月，美国联邦CIO发布《联邦信息技术管理改革25点实施计划》，明确提出联邦政府“云技术”三步走的战略。2011年2月，美国总统奥巴马发布《联邦云计算战略》，同年12月，联邦预算管理局发布《云计算环境信息系统安全授权》，正式启动《联邦风险及授权管理计划（FedRAMP）项目，要求进入政府采购清单目录的云服务商，必须经过FedRAMP的认证。欧盟也在云计算方面提出了云战略等，时至今日，云计算已经在美国、欧盟、日本等国家大量普及。美国也出台了虚拟化安全、云计算访问控制、云计算安全与隐私等10余份文件，欧盟也发布了云计算风险评估、云计算安全框架等多份文档。国际标准化组织ISO/IEC JTC1 SC27也先后发布了ISO 27017和ISO 27018等国际标准，规范云计算安全使用。

目前，云计算技术已经普遍应用于现今的互联网服务中， 金融云、教育云、医疗云等应用形式多种多样，为规范国内云计算服务的安全使用，2019年7月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部等四部门联合发布了《云计算服务安全评估办法》（2019年 第2号），要求参照国家有关网络安全标准，对为党政机关、关键信息基础设施运营者提供云计算服务的云平台开展安全评估工作，以提高云计算服务平台的安全性、可控性，保障国家安全和社会稳定。2020年4月13日，国家互联网信息办公室等12部委联合发布了《网络安全审查办法》中也提出对关键信息基础设施运营者采购云计算服务是否可能带来国家安全风险进行分析，影响或可能影响国家安全的应进行网络安全审查，本标准是落实上述规定的主要支撑标准，目前已经在云计算服务安全评估中广泛使用。

2023年，GB/T 31168-2023《信息安全技术 云计算服务安全能力要求》标准发布，该标准修订了2014版。本标准原来版本即GB/T 34942-2017版为依据GB/T 31168-2014版进行的评估，现根据GB/T 31168-2023对GB/T 34942-2017进行修订。

文件链接

https://www.tc260.org.cn/file/2024-01-31/6be1276d-4c87-4dbc-a149-30e28397e6c5.pdf