前言
中国通信标准化协会发布通标协[2024]104号文件,T/CCSA 510-2024《云计算服务安全要求 第2部分:SaaS安全能力要求》团体标准经技术管理委员会审核通过,于2024年4月1日正式发布,6月1日起实施。
一、标准解读
标准范围
T/CCSA 510-2024《云计算服务安全要求 第2部分:SaaS安全能力要求》规定了 SaaS 服务产品的安全能力基本要求,提出了 SaaS 服务产品安全功能的设计原则,适用于 SaaS 服务商对 SaaS 服务产品安全功能的设计、实施和评估,
能力要求
访问控制:SaaS平台根据用户身份、数据对象以及行为活动的特征对用户的访问进行严格控制的安全功能。
身份鉴别:SaaS平台根据用户身份标识进行有效验证,以确保用户以其授权权限进行安全访问的安全功能。
数据保护:SaaS平台针对存储和传输数据的机密性和完整性保护措施,以确保数据安全的安全功能。
安全审计:SaaS平台记录用户的访问和操作行为,并进行异常检测,以提供实时告警和事后追溯的安全功能。
安全运行:SaaS平台利用云计算平台的基础安全功能,确保其自身安全运行的安全功能。
安全策略管理:SaaS平台管理自身安全设置和安全属性的安全功能。
二、标准相关评估
PART/1
SaaS安全能力评估依据T/CCSA 510-2024《云计算服务安全要求 第2部分:SaaS安全能力要求》标准,从SaaS服务用户角度对相关服务的安全状况进行技术测试和文档审查,覆盖SaaS服务过程中的关键要素和环节,即访问主体、访问客体以及访问主体和访问客体间的行为活动。
注:评估目前已经陆续开展六批次,数十家企业和产品通过评估。
三、中国信通院SaaS安全相关工作
PART/1
为了引导SaaS安全服务向好发展,推动安全技术深入SaaS应用,中国信息通信研究院云计算与大数据研究所可信安全团队开展(中小)企业上云保障计划-SaaS服务安全专项行动(2023),针对目前我国企业级SaaS服务市场面临的供需认知不同、用户选型困难、安全建设等痛点难点问题,结合中国信通院对于我国市场内SaaS服务安全等方面的调研结果、标准研究和评估结果积累,针对SaaS服务安全能力进行相关验证,打造高质量的SaaS服务及安全生态目录《可信企业级SaaS产品能力生态目录(2023)》。(中小)企业上云保障计划-SaaS服务安全专项行动(2024)现正式启动,通过遴选宣传推广一批成熟度高、具有示范作用的优秀案例,为用户提供不同类别服务的选型参考,为SaaS服务商提供用户交流平台。
业务联系人
马铭洋
中国信通院|云计算与大数据研究所
18600235069(微信同号)
卫斌
中国信通院|云计算与大数据研究所
18618259777 (微信同号)
长按二维码关注
链接云端,可信而安
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...