Protected B（加拿大）

简介

加拿大政府 (GC) 使用不同的安全分类级别（例如 Protected A、Protected B、机密、秘密和绝密）对数据进行分类，具体取决于信息的敏感性，以及信息的机密性、完整性和/或可用性遭到破坏时可能造成的潜在危害。虽然 GC 部门和机构可以使用云服务，但 GC 部门必须先对信息进行识别和分类，以了解应该应用的安全控制措施。

什么是 Protected B？

“Protected”信息可分为Protected A、Protected B 或Protected C，适用于个人信息、商业机密信息或任何其他信息或资产，如果这些信息或资产泄露，有合理理由认为会损害非国家利益。更具体地说，Protected B 可以包括敏感的个人信息，例如：医疗记录、绩效评估报告、详细的财务信息等。未经授权披露此类信息可能会对个人或组织造成严重伤害，例如造成痛苦、财务损失或声誉受损。

GC 发布了多项政策工具，例如政府安全政策、有关服务和数字化的政策/指令/指南、合同安全手册，以及商业云服务安全使用指令：安全政策实施通知 (SPIN)，其中描述了各部门、机构和私营部门组织为保护敏感的政府信息而应考虑的物理、人员和 IT 安全要求以及控制措施。

对于 Protected B，云相关的安全控制要求有哪些？

对于云，安全控制要求在信息技术安全指南 (ITSG-33) - IT 安全风险管理：生命周期方法的附录 3 中进行了说明。将网络中心的中等云安全控制配置文件用作 IT 安全要求的基准。此外，GC 还开发了Protected B 高价值资产 (PBHVA) 云安全控制配置文件，其中定义了可作为增强功能来支持已确定为高价值资产系统的Protected B 工作负载的额外完整性和可用性控制。

加拿大公共服务和采购部 (PSPC) 合同安全计划 (CSP)

PSPC CSP 验证云服务合同的人员和物理安全。这包括确保 Google Cloud 在 PSPC CSP 中注册并持有必要的组织安全许可，以及为有业务需要访问Protected信息或运营区域的员工提供人事安全许可。PSPC 还会对 Google Cloud 的加拿大数据中心位置进行物理安全检查，以确认安全运维区域、适当的数据保护措施、受控访问权限和合同安全要求均已满足。

加拿大网络安全中心 (CCCS) 供应链完整性 (SCI)

网络中心 SCI 团队会评估与公司相关的风险因素（例如所有权、位置和商业行为），以及产品或服务本身的技术风险。SCI 团队使用各种来源来生成风险评分，这有助于最终确定云安全评估。如需了解有关 SCI 流程的更多信息，请参阅《ITSAP.10.070, Cyber supply chain: An approach to assessing risk》（ITSAP.10.070，网络供应链：评估风险的方法）。

加拿大网络安全中心 (CCCS) CSP IT 安全评估流程

云服务提供商 (CSP) 信息技术安全 (ITS) 评估流程 (ITSM.50.100) 包括对云解决方案进行详细评估，以确保其符合安全控制要求，例如“中等云配置文件”和/或“Protected B 高价值资产叠加配置文件”。Google Cloud 负责提供证据，证明其符合相关控制配置文件中的各项安全控制措施。然后，CCCS 会发布一份安全评估报告，总结其发现结果。