引言
2025年2月25日,新加坡资讯通信媒体发展局(IMDA)发布云服务和数据中心咨询指南,旨在提升云服务提供商和数据中心运营商的服务弹性和安全性,以最大限度地减少这些服务中断的发生以及对经济和社会的影响。
一、云服务和数据中心咨询指南制定背景
数字服务(如网上银行、网约车、电子商务及数字身份认证)的正常运行,高度依赖于云服务与数据中心(DCs)等基础设施的持续稳定运行。一旦云服务与数据中心发生中断,将导致公众日常生活严重受阻,并对经济社会造成系统性风险。通过实施规范化管理措施,可有效降低此类中断事件发生概率,并在事故发生后实现服务快速恢复。
继去年修订《网络安全法》以应对此类数字基础设施的网络安全风险后,指导方针的发布是加强云服务提供商和数据中心运营商的服务弹性和安全性的又一举措。此外,指导方针亦与即将出台的《数字基础设施法》(Digital Infrastructure Act, DIA)形成互补,该法案将对具有系统重要性的大型云服务提供商(CSPs)及数据中心运营商实施监管。

二、主要内容
两份指南对于应对技术架构配置错误、物理危害和网络攻击等风险,建议实施风险评估、业务影响分析、业务连续性规划和网络安全措施。
(一)云服务指南
云服务指南系统阐述了云服务提供商(CSPs)的实践要求,具体按以下七大核心领域分类实施:

图源:新加坡资讯通信媒体发展局官网
治理与风险管理
• 建立云服务治理框架;
• 定期开展风险评估并实施风险管理流程;
安全与合规
• 确保符合相关法律法规要求;
• 实施数据与系统安全防护措施;
3. 服务可用性与连续性
• 维持云服务高可用性;
• 制定并测试业务连续性与灾难恢复计划;
4. 数据管理
• 部署数据保护机制;
• 确保数据完整性与机密性;
5. 事件管理
• 建立事件管理流程;
• 及时报告并响应安全事件;
6. 第三方管理
• 管控第三方服务提供商相关风险;
• 确保第三方遵守安全与韧性要求;
7. 监测与报告
• 持续监测云服务安全及性能表现;
• 定期提交合规与安全状态报告。
(二)数据中心指南
数据中心指南为数据中心运营商(DCOs)提供业务连续性管理框架,包括计划制定、政策实施、控制流程和持续改进四步流程,涵盖基础设施、治理与网络风险三大维度。

图源:新加坡资讯通信媒体发展局官网
1. 计划制定
• 依据组织政策设定目标并建立实施流程;
• 识别与云服务相关的风险及机遇;
• 制定韧性及安全的综合战略;
2. 政策实施
• 落地规划流程与战略方案;
• 部署安全措施及控制机制以保护云服务;
• 确保全员接受培训并明确职责分工;
3. 控制流程
• 对照既定目标监控并评估云服务表现;
• 开展定期审计与合规性评估;
• 识别运行偏差或不合规项并溯源分析;
4. 持续改进
• 采取纠正措施解决已识别问题;
• 基于核查结果持续优化流程与战略;
• 更新政策及规程以体现改进措施。
2025年2月25日,新加坡资讯通信媒体发展局(IMDA)发布云服务和数据中心咨询指南,旨在提升云服务提供商和数据中心运营商的服务弹性和安全性,以最大限度地减少这些服务中断的发生以及对经济和社会的影响。
一、云服务和数据中心咨询指南制定背景
数字服务(如网上银行、网约车、电子商务及数字身份认证)的正常运行,高度依赖于云服务与数据中心(DCs)等基础设施的持续稳定运行。一旦云服务与数据中心发生中断,将导致公众日常生活严重受阻,并对经济社会造成系统性风险。通过实施规范化管理措施,可有效降低此类中断事件发生概率,并在事故发生后实现服务快速恢复。
继去年修订《网络安全法》以应对此类数字基础设施的网络安全风险后,指导方针的发布是加强云服务提供商和数据中心运营商的服务弹性和安全性的又一举措。此外,指导方针亦与即将出台的《数字基础设施法》(Digital Infrastructure Act, DIA)形成互补,该法案将对具有系统重要性的大型云服务提供商(CSPs)及数据中心运营商实施监管。

二、主要内容
两份指南对于应对技术架构配置错误、物理危害和网络攻击等风险,建议实施风险评估、业务影响分析、业务连续性规划和网络安全措施。
(一)云服务指南
云服务指南系统阐述了云服务提供商(CSPs)的实践要求,具体按以下七大核心领域分类实施:

图源:新加坡资讯通信媒体发展局官网
治理与风险管理
• 建立云服务治理框架;
• 定期开展风险评估并实施风险管理流程;
安全与合规
• 确保符合相关法律法规要求;
• 实施数据与系统安全防护措施;
3. 服务可用性与连续性
• 维持云服务高可用性;
• 制定并测试业务连续性与灾难恢复计划;
4. 数据管理
• 部署数据保护机制;
• 确保数据完整性与机密性;
5. 事件管理
• 建立事件管理流程;
• 及时报告并响应安全事件;
6. 第三方管理
• 管控第三方服务提供商相关风险;
• 确保第三方遵守安全与韧性要求;
7. 监测与报告
• 持续监测云服务安全及性能表现;
• 定期提交合规与安全状态报告。
(二)数据中心指南
数据中心指南为数据中心运营商(DCOs)提供业务连续性管理框架,包括计划制定、政策实施、控制流程和持续改进四步流程,涵盖基础设施、治理与网络风险三大维度。

图源:新加坡资讯通信媒体发展局官网
1. 计划制定
• 依据组织政策设定目标并建立实施流程;
• 识别与云服务相关的风险及机遇;
• 制定韧性及安全的综合战略;
2. 政策实施
• 落地规划流程与战略方案;
• 部署安全措施及控制机制以保护云服务;
• 确保全员接受培训并明确职责分工;
3. 控制流程
• 对照既定目标监控并评估云服务表现;
• 开展定期审计与合规性评估;
• 识别运行偏差或不合规项并溯源分析;
4. 持续改进
• 采取纠正措施解决已识别问题;
• 基于核查结果持续优化流程与战略;
• 更新政策及规程以体现改进措施。
