国际电信联盟(ITU)于2023年正式发布云计算风险管理框架标准:ITU-T Y.3539 Cloud computing – Framework of risk management。该项国际标准由中国信息通信研究院(以下简称“中国信通院”)牵头制定,旨在针对云计算运行过程中面临出现的服务不可用、数据丢失、数据泄露等风险后果提出管理方法。
《ITU-T Y.3539 Cloud computing – Framework of risk management》标准规范了云计算风险管理流程,用于指导企业梳理风险管理薄弱点。一是风险评估,充分识别云计算环境中的11个关键点,并对其可能遭受的潜在威胁、脆弱性以及风险管理能力进行识别,确定导致潜在损失的诱因,结合云计算应用价值进行风险估算;二是风险处置,基于云计算风险评估结果,选择风险降低、风险保持、风险回避或风险转移处置手段;三是云计算风险沟通和监测,云计算安全责任应由云服务商与云服务客户共同承担,双方应建立沟通机制,交换和共享风险信息,此外需要对云计算环境中的威胁和脆弱性进行持续监测,以保障云的可持续运营。
云计算风险管理框架
中国信通院云计算与大数据研究所在2016年开始探索云安全领域,依托中国通信标准化协会CCSA TC608、云计算开源产业联盟等组织,凝聚产业共识,已牵头编制云安全相关标准,包括云计算安全责任共担、云服务用户数据保护、零信任等行业/团体标准。ITU-T Y.3539国际标准的发布是云计算领域重要标准化成果,通过国际和国内标准协同联动,进一步增强我国在云计算领域标准化上的主动权。