信息安全技术 云计算服务安全能力要求

ICS

35.040L80中华人民共和国国家标准GB/T XXXXX—XXXX信息安全技术云计算服务安全能力要求Information securitytechnology-Security capabilityrequirements ofcloud computingservices2013-08实施XXXX-XX-XX发布-XX-XX中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性——访问控制云服务商应严格保护云计算平台的客户数据和用户隐私，在授权信息系统用户及其进程、设备（包括其他信息系统的设备）访问云计算平台之前，应对其进行身份标识及鉴别，并限制授权用户可执行的操作和使用的功能——配置管理云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品的安全配置参数——维护云服务商应定期维护云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录——应急响应与灾备云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下重要信息资源的可用性云服务商应建立事件处理计划，包括对事件的预防、检测、分析、控制、恢复等，对事件进行跟踪、记录并向相关人员报告服务商应具备灾难恢复能力，建立必要的备份设施,确保客户业务可持续——审计云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的未授权访问、篡改和删除行为——风险评估与持续监控云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平服务商应制定监控目标清单，对目标进行持续安全监控,并在异常和非授权情况发生时发出警报——安全组织与人员云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员）上岗时具备履行其信息安全责任的素质和能力，还应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反信息安全规定的人员进行处罚——物理与环境保护云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通过云服务商的明确授权安全要求的表述形式

4.4本标准将云计算服务安全能力要求分为一般要求和增强要求政府部门或重要行业应对拟迁移至云计算平台的信息和业务系统进行分析，按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商《信息安全技术云计算服务安全指南》给出了信息、业务类型与安全保护要求GBXXXXX-XXXX之间的对应关系本标准中每一项安全要求均以一般要求和增强要求的形式给出增强要求是对一般要求的补充和强化在实现增强要求时，一般要求应首先得到满足有的安全要求只列出了增强要求，一般要求标为“无”这表明具有一般安全能力的云服务商可以不实现此项安全要求即使对同等安全能力水平的云服务商，其实现安全要求的方式也可能会有差异为此，本标准在描述安全要求时引入了“赋值”和“选择”这两种变量，并以［赋值……］和［选择……；……］的形式给出“赋值”表示云服务商在实现安全要求时，要由其定义具体的数值或内容“选择”表示云服务商在实现安全要求时，应选择一个给定的数值或内容云服务商在向客户提供云计算服务前，应确定并实现“赋值”和“选择”的具体数值或内容“赋直，和“选择”示例如下:云服务商应在［赋值云服务商定义的时间段］后，自动［选择删除；禁用］临时和应急账号安全要求的调整

4.5本标准提出的安全要求是通常情况下云服务商应具备的基本安全能力在具体的应用场景下，云服务商有可能需要对这些安全要求进行调整调整的方式有——删减未实现某项安全要求，或只实现了某项安全要求的一部分——补充某项基本安全要求不足以满足云服务商的特定安全目标，故增加新的安全要求，或对标准中规定的某项安全要求进行强化——替代使用其他安全要求替代标准中规定的某项安全要求，以满足相同的安全目标调整的原因有多种，例如——已知某些目标客户有特殊的需求——云服务商的安全责任因、和这种不同的云计算模式而不同，云服务商为了实现SaaS PaaSlaaS3本标准中规定的安全要求，所选择的安全措施的实施范围、实施强度可能不同——出于成本等因素考虑，云服务商可能希望实现替代性的安全要求——云服务商希望表现更强的安全能力，以便于吸引客户安全计划

4.6为了建立向客户提供安全的云计算服务的能力，云服务商应制定安全计划，详细说明对本标准提出的安全能力要求的实现情况云服务商应在安全计划中对“赋值”和“选择”给出具体的数值或内容，必要时还应对本标准提出的安全要求进行调整当云计算平台上有多个应用系统时，云服务商应分别制定每个系统的安全计划安全计划包括但不限于以下内容——云计算平台的基本描述，包括•系统拓扑；•系统运营单位；•与外部系统的互联情况；•云服务模式和部署模式；•系统软硬件清单；•数据流等——为实现本标准规定的安全要求而采取的安全措施的具体情况对每项安全要求，云服务商均应在以下个选项中选择其一作为对实现情况的整体描述，并针对性地提供详细说明5•满足此种情况下，应说明为满足安全要求而采取的具体措施；•部分满足此种情况下，对已满足的安全要求应说明所采取的具体措施，对不满足的安全要求应说明理由；•计划满足此种情况下，应说明时间进度安排以及在此期间的风险管控措施；•替代此种情况下，应说明替代理由并说明所实现的安全目标与原安全要求之间的关系；•不满足此种情况下，应说明不满足的理由——为实现本标准提出的安全要求而采取的安全措施的作用范围对通用安全措施或混合安全措施中的通用部分，可只在其中一个应用系统的安全计划中说明该措施的实施情况，其余安全计划中不再详细说明，或针对通用安全措施制定一份专门的安全计划——对云服务商新增的安全目标及对应的安全措施的说明一对客户安全责任的说明，以及对客户应实施的安全措施的建议附录给出了安全计划的模板A本标准的结构

4.7本标准共包括个安全要求章节（第章至第章）每个章节名称及其所含主要安全要求的数目10514是第5章系统开发与供应链安全（17个）第6章系统与通信保护（14个）第7章访问控制（27个）第8章配置管理（7个）第9章维护（9个）第10章应急响应与灾备（13个）第11章审计（11个）第12章风险评估与持续监控（6个）第13章安全组织与人员（14个）第14章物理与环境保护（15个）本标准还包括附录A安全计划模板注本标准中章节的顺序不表明其重要性另外，本标准的其他排列也没有优先顺序，除非特别注明系统开发与供应链安全5策略与规程

5.1一般要求

5.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a1）系统开发与供应链安全策略（包括采购策略等），涉及以下内容目的、范围、角色、责任、管理层承诺、内部协调、合规性）相关规程，以推动系统开发与供应链安全策略及与有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新系统开发与供应链安全策略及相关规程b增强要求

5.

1.2无资源分配

5.2一般要求

5.

2.1云服务商应）在系统建设规划时考虑系统的安全需求a）确定并分配为保护信息系统和服务所需的资源（如有关资金、场地、人力等），并在预算管理过程b中予以重点考虑）在工作计划和预算文件中，将信息安全作为单列项予以说明c增强要求522无系统生命周期

5.3云服务商应）将信息安全纳入［赋值云服务商定义的系统生命周期］,确保信息安全措施同步规划、同步建设、a同步运行）确定整个信息系统生命周期内的信息安全角色和责任b）将信息安全角色明确至相应责任人c）将信息安全风险管理过程集成到系统生命周期活动中d增强要求无采购过程

5.4一般要求

5.

4.1云服务商应根据相关法律、法规、政策和标准的耍求，以及可能的客户需求，并在风险评估的基础上，将以下内容列入信息系统采购合同）安全功能要求a）安全强度要求b）安全保障要求c）安全相关文档要求d）保密要求e）开发环境和预期运行环境描述f）验收准则g）强制配置要求，如功能、端口、协议和服务h增强要求

5.

4.2云服务商应）提供或要求信息系统、组件或服务的开发商提供所使用的安全措施的功能描述，如对外提供的安全a功能或机制）提供或要求信息系统、组件或服务的开发商提供所使用的安全措施的设计和实现信息，包括［选择b（可多选）安全相关的外部系统的接口；高层设计；低层设计；源代码或硬件原理图；［赋值云服务商定义的其他设计或实现信息］］,其详细程度应满足［赋值云服务商定义的详细程度］）提供或要求信息系统、组件或服务的开发商提供证据，证明其在系统生命周期中使用了［赋值:云服c务商定义的系统工程方法、软件开发方法、测试技术和质量控制过程］）实现或要求信息系统、组件或服务的开发商交付信息系统、组件或服务时实现［赋值云服务商定d义的安全配置］,且这些安全配置应作为信息系统、组件或服务进行重新安装或升级时的缺省配置）要求信息系统、组件或服务的开发商制定对安全措施有效性的持续监控计划，其详细程度满足［赋值e云服务商定义的详细程度］）说明或要求信息系统、组件或服务的开发商在系统生命周期的早期阶段说明系统中的功能、端口、f协议和服务，云服务商应禁用不必要或高风险的功能、端口、协议或服务系统文档

5.5一般要求

5.

5.1云服务商应）制定或要求信息系统、组件或服务的开发商制定管理员文档，且涵盖以下信息a）系统、组件或服务的安全配置，以及安装和运行说明1）安全特性或功能的使用和维护说明2）与管理功能有关的配置和使用方面的注意事项3）制定或要求信息系统、组件或服务的开发商制定用户文档，且涵盖以下信息b）用户可访问的安全功能或机制，以及对如何有效地使用这些安全功能或机制的说明1）有助于用户以更加安全的方式使用系统、组件或服务的用户交互方法2）对用户安全责任和注意事项的说明3）基于风险管理策略，按照要求保护上述文档c）将上述文档分发至［赋值云服务商定义的人员或角色］d增强要求

5.

5.2^2°安全工程原则

5.6一般要求

5.

6.1云服务商应在信息系统的规范、设计、开发、实现和修改过程中应用信息系统安全工程原则，包括但不限于以下内容）实施分层保护a）建立完善的安全策略、架构和措施，作为设计基础b）划定物理和逻辑安全边界c）确保系统开发人员接受了软件开发安全培训d）进行威胁分析，评估安全风险e）将风险降低到可接受的水平f增强要求

5.

6.2无关键性分析

5.7一般要求

5.

7.1无增强要求

5.

7.2云服务商应在［赋值:云服务商定义的系统生命周期中的决策点］对［赋值云服务商定义的信息系统、组件或服务］进行关键性分析，以确定关键信息系统组件和功能外部信息系统服务

5.8一般要求

5.

8.1云服务商应）要求外部信息系统服务提供商遵从并实施云服务商的信息安全要求a）明确外部信息系统服务提供商的信息安全分工与责任，同时要求外部信息系统服务提供商接受相关b客户监管）使用［赋值云服务商定义的过程、方法和技术］,对外部服务提供商所提供的安全措施的合规性c进行持续监控增强要求

5.

8.2云服务商应）在采购或外包特定的信息系统服务之前进行风险评估a）确保特定的信息系统服务的采购或外包得到［赋值云服务商定义的人员或角色］批准b）要求［赋值云服务商定义的外部信息系统服务］的服务提供商明确说明该服务涉及的功能、端口、c协议和其他服务）基于［赋值云服务商定义的安全要求、属性、因素或者其他条件］建立并保持与外部服务提供商d的信任关系）使用［赋值云服务商定义的安全防护措施］,以确保［赋值云服务商定义的外部服务提供商］不e损害本组织的利益安全防护措施包括但不限于1）对所选择的外部服务提供商的人员进行背景审查）检查外部服务供应商资本变更记录2）选择可信赖的服务提供商（如有过良好合作的提供商）3）定期或不定期检查服务提供商的设施4）基于［赋值云服务商定义的要求或条件］，限制［选择信息处理；信息或数据；信息系统服务］f的地点，如本地或境内开发商安全体系架构

5.9一般要求

5.

9.1无增强要求

5.

9.2云服务商应）制定或要求信息系统、组件或服务的开发商制定设计规范和安全架构，且符合下列条件a）该架构应符合或支持云服务商的安全架构1）准确完整地描述了所需的安全功能，并且为物理和逻辑组件分配了安全措施2）说明各项安全功能、机制和服务如何协同工作，以提供完整一致的保护能力3）说明或要求信息系统、组件或服务的开发商说明与安全相关的硬件、软件和固件b）创建或要求信息系统、系统组件或信息系统服务的开发商创建非形式化的高层说明书，说明安全相c关的硬件、软件和固件的接口，并通过非形式化的演示，说明该高层说明书完全覆盖了与安全相关的硬件、软件和固件的接口）在构造安全相关的硬件、软件和固件时，考虑或要求信息系统、组件或服务的开发商考虑便于测试、d便于实现最小特权访问控制等因素开发过程、标准和工具

5.10一般要求

5.

10.1无增强要求

5.

10.2云服务商应）制定或要求信息系统、组件或服务的开发商制定明确的开发规范，在规范中明确以下事项a1）所开发系统的安全需求）开发过程中使用的标准和工具2）开发过程中使用的特定工具选项和工具配置3）采取有关措施，确保开发过程的完整性和工具变更的完整性b）按照［赋值云服务商定义的频率］审查开发过程、标准、工具以及工具选项和配置，判定有关过c程、标准、工具以及工具选项和配置是否满足［赋值云服务商定义的安全需求］）定义或要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质量度量标准，并以［选择d［赋值云服务商定义的频率］;［赋值云服务商定义的项目审查里程碑］;交付时］为节点，检查质量度量标准的落实情况）确定或要求信息系统、组件或服务的开发商确定安全问题追踪工具，并在开发过程期间使用e）要求信息系统、组件或服务的开发商以［赋值云服务商定义的广度和深度］为信息系统实施威胁和f脆弱性分析）实施或要求信息系统、组件或服务的开发商实施清晰的流程，以持续改进开发过程g）执行或要求信息系统、组件或服务的开发商使用［赋值云服务商定义的工具］执行漏洞分析,明h确漏洞被利用的可能性，确定漏洞消减措施，并将工具的输出和分析结果提交给［赋值云服务商定义的人员或角色］）批准、记录和控制对信息系统、组件或服务的开发和测试环境中真实数据的使用i）制定或要求信息系统、组件或服务的开发商制定事故应急预案，并将事故应急预案纳入云服务商的j事件响应计划中开发商配置管理

5.11一般要求

5.

11.1云服务商应要求信息系统、组件或服务的开发商）在系统、组件或服务的［选择设计；开发；实现；运行］过程中实施配置管理a）记录、管理和控制［赋值云服务商定义的配置项］的变更的完整性配置项包括但不限于形式b化模型、功能、高层设计说明书、低层设计说明书、其他设计数据、实施文档、源代码和硬件原理图、目标代码的运行版本、版本对比工具、测试设备和文档）得到批准后，才能对所提供的信息、组件或服务进行变更c）记录对信息系统、组件或服务的变更及其所产生的安全影响d）跟踪信息系统、组件或服务中的安全缺陷和缺陷解决方案e增强要求

5.

11.2云服务商应）要求信息系统、组件或服务的开发商提供能够验证软件和固件组件完整性的方法，如哈希算法a）在没有专用的开发商配置团队支持的情况下，由本组织的人员建立相应的配置管理流程b）要求信息系统、组件或服务的开发商提供对硬件组件进行完整性验证的方法，如防伪标签、可核查c序列号、防篡改技术等）要求信息系统、组件或服务的开发商，使用工具验证软件或固件源代码以及目标代码的异同，以防d止非授权更改）要求信息系统、组件或服务的开发商采取有关措施，保障安全相关的硬件、软件和固件的出厂版本e与现场运行版本一致，防止非授权更改）要求信息系统、组件或服务的开发商采取有关措施，保障安全相关的硬件、软件和固件的现场更新f与开发商内部版本一致，防止非授权更改开发商安全测试和评估

5.12一般要求

5.

12.1云服务商应要求信息系统、组件或服务的开发商）制定并实施安全评估计划a）以［赋值云服务商定义的深度和覆盖度］执行［选择单元；集成；系统；回归］测试或评估b）提供安全评估计划的实施证明材料，并提供安全测评的结果c）实施可验证的缺陷修复过程d）更正在安全测评过程中发现的脆弱性和不足e云服务商应）要求信息系统、组件或服务的开发商在开发阶段使用静态代码分析工具识别常见缺陷，并记录分析a结果）要求信息系统、组件或服务的开发商实施威胁和脆弱性分析，并测试或评估已开发完成的系统、组b件或服务）在对信息系统、组件或服务的开发商进行评估时，应c1）选择满足［赋值云服务商定义的独立性准则］的独立的第三方，验证开发商实施安全评估计划的正确性以及在安全测试或评估过程中产生的证据）确保独立第三方能够获得足够的资料来完成验证过程，或已被授予获得此类信息的访问权限2）要求信息系统、组件或服务的开发商使用［赋值云服务商定义的过程、规程或技术］对［赋值云d服务商定义的特定代码］实施人工代码审查）要求信息系统、组件或服务的开发商按照［赋值云服务商定义的约束条件］,以［赋值云服务商e定义的广度和深度］执行渗透性测试）要求信息系统、组件或服务的开发商分析所提供的硬件、软件和固件容易受到攻击的脆弱点f）要求信息系统、组件或服务的开发商，验证所完成的安全措施测试或评估满足［赋值云服务商定g义的广度和深度要求］）要求信息系统、组件或服务的开发商在运行阶段使用动态代码分析工具识别常见缺陷，并记录分析h结果开发商提供的培训

5.13一般要求

5.

13.1无增强要求

5.

13.2云服务商应要求信息系统、组件或服务的开发商提供［赋值云服务商定义的培训］,以正确使用所交付系统或产品中的安全功能、措施和机制防篡改

5.14一般要求

5.

14.1无增强要求

5.

14.2云服务商应）实施对信息系统、组件或服务的篡改保护方案a）在系统生命周期中的设计、开发、集成、运行和维护等多个阶段使用防篡改技术b）按照［选择随机；［赋值云服务商定义的频率］］,在［赋值云服务商定义的情况下］检测［赋c值云服务商定义的信息系统、组件或设备］是否受到篡改例如，当本组织人员从高风险地区返回时，应对其移动设备、笔记本电脑或者其他组件进行检测组件真实性

5.15一般要求

5.

15.1无增强要求

5.

15.2云服务商应）制定和实施防腐品的策略和规程，检测并防止腐品组件进入信息系统a）向［选择正品厂商；［赋值云服务商定义的外部报告机构］;［赋值云服务商定义的人员和角b色］;其他有关方面］报告鹰品组件）对［赋值云服务商定义的人员或角色］进行有关鹰品组件检测的培训c）在等待服务或维修，以及已送修的组件返回时，保持对［赋值云服务商定义的系统组件］的配置d控制权）使用［赋值云服务商定义的技术和方法］销毁废弃的信息系统组件e）按照［赋值云服务商定义的频率］检查信息系统中是否有鹰品组件f不被支持的系统组件

5.16一般要求

5.

16.1无增强要求

5.

16.2云服务商应在开发商、供应商或厂商不再对系统组件提供支持时）替换该信息系统组件a）当因业务需要等原因需继续使用不被支持的系统组件时，提供合适的理由并经过本组织领导层的批b准，并为不被支持的系统组件提供［选择内部支持；［赋值云服务商定义的来自其他外部提供商的支持］］供应链保护

5.17一般要求

5.

17.1云服务商应）注明有哪些外包的服务或采购的产品对云计算服务的安全性存在重要影响a）确保［赋值云服务商定义的重要设备］通过［赋值政府和行业有关部门已设立的信息安全测评制b度］的安全检测）对重要的信息系统、组件或服务实施［赋值云服务商定义的供应链安全防护措施］,供应链安全c防护措施包括但不限于1）对产品的开发环境、开发设备以及对开发环境的外部连接实施安全控制）对开发商进行筛选，对开发人员进行审核人员筛选的准则包括无过失、可靠或称职的官方2证明、良好的背景审查、公民身份和国籍开发商的可信任度还包括对公司所有制的审查和分析，对其与其他实体间的关系进行审查和分析）在运输或仓储时使用防篡改包装3增强要求

5.

17.2云服务商应）实施［赋值云服务商定义的采购策略、合同工具和采购方法］可从以下方面考虑a1）优先选择满足下列条件的供应商）安全防护措施符合法律、法规、政策、标准以及云服务商的安全要求i）企业运转过程和安全措施相对透明ii）对下级供应商、关键组件和服务的安全提供了进一步的核查iii）限制来自于特定供应商或国家的采购iv）在合同中声明不使用有恶意代码产品或假冒产品v）将采购决定和交付的时间间隔尽量缩短2）使用可信或可控的分发、交付和仓储手段3）在签署合同前对供应商进行审查，包括但不限于b1）分析供应商对信息系统、组件和服务的设计、开发、实施、验证、交付、支持过程）评价供应商在开发系统、组件或服务时接受的安全培训和积累的经验，以判断其安全能力2）采用［赋值云服务商定义的安全保护措施］,以降低潜在对手利用供应链造成的危害安全保护c措施包括但不限于）尽量避免购买定制设备1）尽量在能提供相同产品的多个不同供应商做选择，以防范供应商锁定风险2）选择有声誉的企业，建立合格供应商列表3）在选择、接受或更新信息系统、组件或服务前对其进行评估，如测试、测评、审查和分析，以发现d恶意代码等隐患评估还可包括静态分析、动态分析、仿真、白盒、灰盒和黑盒测试、模糊测试、渗透性测试等，以确保组件或服务的安全可靠）综合分析各方面的信息，包括执法部门披露的信息、信息安全通报、应急响应机构的风险提示等，e以识别来自开发、生产、交付过程以及人员和环境的风险该分析应尽可能覆盖到各层供应商和候选供应商）采用［赋值云服务商定义的运行安全保护措施］,保护供应链相关信息，包括用户身份、信息系f统、组件或服务的用途、供应商身份、供应商处理过程、安全需求、设计说明书、测评结果、系统或组件配置等信息在制定防护措施时，应确定哪些信息可通过汇聚或推导分析而获得供应链关键信息,并采取针对性的措施予以防范，如向供应商屏蔽关键信息，采取匿名采购或委托采购）采用［赋值云服务商定义的安全防护措施］来确认所收到的系统或组件真实且未被改动，如光学g标签等对于硬件，应要求供应商提供详细和完整的元器件清单和产地清单）对与信息系统、组件或服务相关的［赋值云服务商定义的供应链单元、过程和参与者］实施分析h或测试，包括独立第三方分析或渗透性测试供应链单元是包含可编程逻辑电路的关键产品或组件供应链过程包括硬件、软件和固件开发过程；运输或装卸过程；人员和物理安全程序；以及与供应链单元的生产或发布相关的其他程序供应链参与者是供应链中具有特定角色和责任的独立个体）采取有关措施（如签订协议），使供应链安全事件信息或威胁信息能够及时传达到供应链上的有关i各方j）确保与供应商签订的服务水平协议（SLA）中的相关指标，不低于拟与客户所签订的SLA协议中的相关指标）使用［赋值云服务商定义的安全防护措施］来确保［赋值云服务商定义的关键信息系统组件］的k充分供给安全防护措施包括但不限于1）使用多个供应商提供的关键组件）储备足够的备用组件21）建立和留存对［赋值云服务商定义的供应链单元、过程和参与者］的唯一标识）当变更供应商时;对供应商变更带来的安全风险进行评估，并采取有关措施对风险进行控制m系统与通信保护6策略与规程

6.1一般要求

6.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）系统与通信保护策略（包括边界保护策略、移动代码策略、虚拟化策略等）、系统和信息完1目次前言55引言56信息安全技术云计算服务安全能力要求1范围11规范性引用文件21术语和定义31概述42云计算的安全责任

4.12云计算安全措施的作用范围

4.23安全要求的分类

4.33安全要求的表述形式

4.44安全要求的调整

4.55安全计划

4.65本标准的结构

4.76系统开发与供应链安全56策略与规程

5.16资源分配

5.26系统生命周期

5.36采购过程

5.47系统文档

5.57安全工程原则

5.68关键性分析

5.78外部信息系统服务

5.88开发商安全体系架构

5.99开发过程、标准和工具

5.109开发商配置管理

5.1110开发商安全测试和评估

5.1210开发商提供的培训

5.1311防篡改

5.1411组件真实性

5.1511不被支持的系统组件

5.1612供应链保护

5.1712整性策略，涉及以下内容目的、范围、角色、责任、管理层承诺、内部协调、合规性）相关规程，以推动系统与通信保护策略、系统和信息完整性策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新系统与通信保护策略、系统和信息完整性策略及相b关规程增强要求无边界保护

6.2一般要求

6.

2.1云服务商应）在连接外部系统的边界和内部关键边界上，对通信进行监控；在客户之外的外部人员访问系统的关a键逻辑边界和客户访问系统的关键逻辑边界上，对通信进行监控）将允许外部公开直接访问的组件，划分在一个与内部网络逻辑隔离的子网络上并确保允许外部人b员访问的组件与允许客户访问的组件在逻辑层面实现严格的网络隔离）确保与外部网络或信息系统的连接只能通过严格管理的接口进行，根据云服务商的安全架构，该接c口上应部署有边界保护设备增强要求

6.

2.2云服务商应）为云计算服务搭建物理独立的计算平台、存储平台、内部网络环境及相关维护、安防、电源等设施，a并经由受控边界与外部网络相连）限制信息系统外部访问接入点的数量，以便对进出通信和网络流量实施有效监控b）采取以下措施c1）对每一个外部的电信服务接口进行管理）为每一个接口制定通信流策略2）采取有关措施对所传输的信息流进行必要的保密性和完整性保护3）当根据业务需要，出现通信流策略的例外情况时，将业务需求和通信持续时间记录到通信流4策略的例外条款中）按照［赋值云服务商定义的频率］,对网络通信流策略中的例外条款进行审查，在通信流策5略中删除不再需要的例外条款）确保信息系统的外部通信接口经授权后方可传输数据d）当远程维护管理云计算平台时，防止远程管理设备同时直接连接其他网络资源e）支持客户使用独立的代理服务器来实现信息的导入导出f）构建单独的物理隔离的管理网络，连接管理工具和被管设备或资源，以对云计算平台进行管理g）确保在［赋值云服务商定义的边界保护失效情况］下，云计算平台［赋值云服务商定义的受影响h部分］能够安全地终止运行）采取有关措施，满足不同客户或同一客户不同业务的信息系统之间隔离的需求i传输保密性和完整性

6.3一般要求

6.

3.1无增强要求

6.

3.2云服务商应具有提供满足国家密码管理要求的通信加密和签名验签设施的能力网络中断

6.4一般要求

6.

4.1无增强要求

6.

4.2云服务商应采取有关措施，确保通信会话结束时或在［赋值云服务商定义的不活动时间］之后，云计算平台终止与其相关的网络连接例如，对基于（远程访问服务）的会话，可将不活动时间定义为RAS分钟；对于非交互式用户，可将不活动时间定义为到分钟303060可信路径

6.5一般要求

6.

5.1无增强要求

6.

5.2云服务商应采取有关措施，确保在云计算平台用户和系统安全功能之间建立一条可信的通信路径,安全功能至少应包括系统鉴别、再鉴别、服务分配和收回（如为一个云用户分配额外的带宽）密码使用和管理

6.6一般要求

6.

6.1云服务商应按照国家密码管理有关规定使用和管理云计算平台中所使用的密码设施，并按规定生成和使用、管理密钥增强要求

6.

6.2无协同计算设备

6.7一般要求

6.

7.1云服务商应禁止在云计算平台上连接摄像头、麦克风、白板等协同计算设备增强要求

6.

7.2无移动代码

6.8一般要求

6.

8.1云服务商应根据安全需求和客户的要求，制定移动代码使用策略，对移动代码的使用进行限制，并对允许使用的移动代码进行监视增强要求

6.

8.2云服务商应）在移动代码执行前采取必要的安全动作，至少应对移动代码进行来源确认a）禁止自动执行移动代码b会话认证

6.9一般要求

6.

9.1无增强要求

6.

9.2云服务商应对所有的通信会话提供真实性保护，如防止中间人攻击、会话劫持移动设备的物理连接

6.10一般要求

6.

10.1云服务商应确保只有经其授权的移动设备才能直接连接云计算平台，并应）在移动设备连接云计算平台前对其进行安全检查，禁止自动执行移动设备上的代码a）防止云计算平台上的信息未授权写入移动设备b增强要求

6.

10.2无恶意代码防护

6.11一般要求

6.

11.1云服务商应）在网络出入口以及系统中的主机、移动计算设备上实施恶意代码防护机制，检测并移除恶意代码a）建立相应维护机制，确保恶意代码防护机制得到及时更新，如升级病毒库b）配置恶意代码防护机制，以c）按照［赋值云服务商定义的频率］定期扫描信息系统，以及在［选择终端；网络出入口］下1载、打开、执行外部文件时对其进行实时扫描）当检测到恶意代码后，实施［选择阻断或隔离恶意代码；向管理员报警；［赋值云服务商2定义的活动）及时掌握系统的恶意代码误报率，并分析误报对信息系统可用性的潜在影响d增强要求

611.2云服务商应）防止非特权用户绕过恶意代码防护机制a）自动更新恶意代码防护机制b）集中管理恶意代码防护机制c存防护

611.3一般要求

611.

3.1无强要求

611.

3.2云服务商应使用［赋值云服务商定义的安全措施］对内存进行防护，避免非授权代码执行统虚拟化安全性

611.4一般要求

611.

4.1云服务商应）提供实时的虚拟机监控机制，通过带内或带外的技术手段对虚拟机的运行状态、资源占用、迁移等a信息进行监控）确保虚拟机的镜像安全，并保证b1）提供虚拟机镜像文件完整性校验功能，防止虚拟机镜像被恶意篡改）采取有关措施保证逻辑卷同一时刻只能被一个虚拟机挂载2）实现虚拟化平台的资源隔离，并保证c）每个虚拟机都能获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃1后不影响虚拟机监控器（Hypervisor）及其他虚拟机）虚拟机只能访问分配给该虚拟机的物理磁盘2）不同虚拟机之间的虚拟（）指令实现隔离3CPU vCPU）不同虚拟机之间实现内存隔离4）虚拟机的内存被释放或再分配给其他虚拟机前得到完全释放5）提供资源隔离失败后的告警措施de）支持虚拟机安全隔离，在虚拟机监控器（Hypervisor）层提供虚拟机与物理机之间的安全隔离措施，可控制虚拟机之间以及虚拟机和物理机之间所有的数据通信）提供虚拟化平台操作管理员权限分离机制，设置网络管理、账户管理、系统管理等不同的管理员账f户）将虚拟化平台的各类操作和事件作为可审计事件，进行记录和追溯g）在迁移或删除虚拟机后确保数据清理以及备份数据清理，如镜像文件、快照文件等h）确保虚拟镜像模板的配置正确性，并明确模板的谱系来源i强要求

611.

4.2云服务商应）确保虚拟化平台的管理命令采用加密的协议进行传输a）提供虚拟机跨物理机迁移过程中的保护措施b）提供对虚拟机所在物理机范围进行指定或限定的能力c）提供虚拟机镜像文件加密功能，防止虚拟机镜像文件数据被非授权访问d）对虚拟机模版文件、配置文件等重要数据进行完整性检测e络虚拟化安全性

611.5一般要求

611.

5.1云服务商应）为云中的虚拟网络资源（如（虚拟局域网）上的（虚拟机））间的访问，实施网络逻辑a VLANVM隔离并提供访问控制手段）在访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施b）对虚拟机的网络接口的带宽进行管理c强要求

611.

5.2无访问控制7策略与规程

7.1一般要求

7.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）标识与鉴别策略、访问控制策略（包括信息流控制策略、远程访问策略等），涉及以下内容1目的、范围、角色、责任、管理层承诺、内部协调、合规性）相关规程，以推动标识与鉴别策略、访问控制策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新标识与鉴别策略、访问控制策略及相关规程b增强要求

7.

1.2无用户标识与鉴别

7.2一般要求

7.

2.1云服务商应）对信息系统的用户进行唯一标识和鉴别a）对特权账号的网络访问实施多因子鉴别b增强要求

7.

2.2云服务商应）对非特权账号的网络访问实施多因子鉴别a）对特权账号的本地访问实施多因子鉴别b）对特权账号的网络访问实施抗重放鉴别机制，如动态口令c）在对特权账号的网络访问实施多因子鉴别时，确保其中一个因子由与系统分离的设备提供，以防止d鉴别凭证在系统中存储时受到破坏）在对非特权账号的网络访问实施多因子鉴别时，确保其中一个因子由与系统分离的设备提供，以防e止鉴别凭证在系统中存储时受到破坏设备标识与鉴别

7.3一般要求

7.

3.1无增强要求

7.

3.2在［赋值云服务商定义的设备或设备类型列表］与云计算平台建立［选择本地；网络］连接前，云服务商应对该设备进行唯一标识和鉴别，如利用设备的介质访问控制（MAC）地址标识符管理

7.4一般要求

7.

4.1云服务商应通过以下步骤管理云计算平台中的标识符）明确授权人员来分配个人、组、角色或设备标识符a）设定或选择个人、组、角色或设备的标识符b）将标识符分配给有关个人、组、角色或设备c）在［赋值云服务商定义的时间段］内防止对用户或设备标识符的重用d）在［赋值云服务商定义的时间段］后禁用不活动的用户标识符e增强要求

7.

4.2云服务商应）对［赋值云服务商定义的人员类型］进行标识，如合同商或境外公民，便于了解通信方的身份（如a将电子邮件的接收者为合同商，以便与本组织人员相区分））在标识跨组织、跨平台的用户时，应确保与相关机构相协调，以满足多个组织或平台的标识符管理b策略鉴别凭证管理

7.5一般要求

7.

6.1云服务商应）通过以下步骤管理鉴别凭证a1）验证鉴别凭证接收对象（个人、组、角色或设备）的身份）确定鉴别凭证的初始内容2）确保鉴别凭证对于其预期使用具有足够强的机制3）针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程4）强制要求用户更改鉴别凭证的默认内容5）明确鉴别凭证的最小和最大生存时间限制以及再用条件6）对［赋值云服务商定义的鉴别凭证］,强制要求在［赋值云服务商定义的时间段］之后更新7鉴别凭证）保护鉴别凭证内容，以防未授权泄露和篡改8）采取由设备实现的特定安全保护措施来保护鉴别凭证9）当组或角色账号的成员资格发生变化时，变更该账号的鉴别凭证10）对于基于口令的鉴别b）设立相关机制，能够强制执行最小口令复杂度，该复杂度满足［赋值云服务商定义的口令复1杂度规则］）设立相关机制，能够在用户更新口令时，强制变更［赋值云服务商定义的数目］个字符，确2保新旧口令不一样）对存储和传输中的口令进行加密3）强制执行最小和最大生存时间限制，以满足［赋值云服务商定义的最小生存时间和最大生存4时间］）对于基于硬件令牌的鉴别，定义令牌安全质量要求，并部署相关机制予以满足，如基于的令牌c PKI增强要求

7.

7.2云服务商应）对于基于的鉴别a PKI）通过构建到信任根的认证路径并对其进行验证，包括检查证书状态信息，以确保认证过程的安1全）对相应私钥进行保护2）确保未加密的静态鉴别凭证未被嵌入到应用、访问脚本中b）接收［赋值云服务商定义的鉴别凭证］时，必须通过本人或可信第三方实施c鉴别凭证反馈

7.6一般要求

7.

6.1云服务商应确保信息系统在鉴别过程中能够隐藏鉴别信息的反馈，以防止鉴别信息被未授权人员利用增强要求

7.

6.2无密码模块鉴别

7.7一般要求

7.

7.1云服务商应确保系统中的密码模块对操作人员设置了鉴别机制，该机制应满足国家密码管理的有关规定增强要求

7.

7.2无账号管理

7.8一般要求

7.

8.1云服务商应:）指派账号管理员a）标识账号类型（即个人账号、组账号、访客账号、匿名账号和临时账号）b）建立成为组成员的必需条件c）标识信息系统的授权用户、组及角色关系，并为每个账号指定访问权限和其他需要的属性d）针对建立信息系统账号的请求，提请［赋值云服务商定义的人员或角色］的批准e）建立、激活、修改、关闭和注销账号f）授权和监督账号的使用g）当下述情况出现时，通报账号管理员h）当临时账号不再需要时1）当用户离职或调动时2）当变更信息系统用途时3）按照［赋值云服务商定义的频率］,检查账号是否符合账号管理的要求i增强要求

7.

8.2云服务商应）采用自动方式管理账号a）在［赋值云服务商定义的时间段］后自动［选项删除；禁用］临时和应急账号b）在［赋值云服务商定义的时间段］后自动关闭非活跃账号c）对账号的建立、更改、禁用和终止行为进行自动审计，并将情况向［赋值云服务商定义的人员或d角色］通报）根据基于角色的访问方案建立和管理特权用户账号，将信息系统的访问及特权纳入角色属性，并对e特权角色的分配进行跟踪和监视访问控制的实施

7.9一般要求

7.

9.1云服务商应）为云计算平台上信息和系统资源的逻辑访问实施经批准的授权a）参照［赋值云服务商定义的职责分离］,授权对云计算平台的访问b增强要求

7.

9.2针对所有主体和客体，云服务商应实施［赋值云服务商定义的强制访问控制策略］,该策略应规定）针对信息系统范围内所有主体和客体，统一执行策略a）已获得信息访问权的主体，应限制其实施以下任何行为b）将信息传递给未授权的主体和客体1）将权限授予给其他主体2）变更主体、客体、信息系统或其组件的安全属性3）对新创建或修改后的客体，变更其已经关联的安全属性4）变更访问控制管理规则5）针对［赋值云服务商定义的主体］,可明确授予［赋值云服务商定义的特权（即将其作为可信主c体）］，以便其不被）条的部分或全部条件所约束b信息流控制

7.10一般要求

7.

10.1无增强要求

7.

10.2云服务商应）按照［赋值云服务商定义的信息流控制策略］，控制系统内或互连系统间的信息流动，如限制受a控信息流向互联网、限制对互联网的访问请求、限制某些数据格式或含关键字的信息流出云计算平台、Web限制云计算平台上的信息流向境外或在境外处理信息流策略的实施方式包括但不限于1）使用与［赋值云服务商定义的信息（数据内容和数据结构）、源、目的地对象］相关联的［赋值云服务商定义的安全属性］作为信息流控制决策基础）实施动态信息流控制，如针对条件变化或运行环境，具备动态调整信息流控制策略的能力2）对其他数据类型中的嵌入的数据（如字处理文件中嵌入可执行文件、压缩文件中包含多种类型3的文件）实施［赋值云服务商定义的限制措施］）基于［赋值云服务商定义的用来描述数据特征的元数据］实施信息流控制，如数据格式、语4法、语义等）使用硬件方法实现［赋值云服务商定义的信息单向流动］5）将［赋值云服务商定义的安全策略过滤器］作为对［赋值云服务商定义的信息流］进行信6息流控制决策的基础，如文件的最大长度、文件和数据类型等，并为特权账号提供开启、禁止和配置［赋值云服务商定义的安全策略过滤器］的能力）在［赋值云服务商定义的条件］下，对［赋值云服务商定义的信息流］实施人工审查b）在不同的安全域之间传输信息时、检查信息中是否存在［赋值云服务商定义的禁止类信息］,并c遵循［赋值云服务商定义的安全策略］,禁止传输此类信息）唯一地标识和鉴别以［选择组织、系统、应用、个人］为标识的源和目的地址，以实施信息流策d略，如禁止信息流向境外目的地址）使用［赋值云服务商定义的绑定技术］,绑定信息与其安全属性，以实施信息流策略e）使用同一设备对多个不同安全域上的计算平台、应用或数据访问时,防止不同安全域之间的任何信f息以违背信息流策略的方式流动存储加密

7.11一般要求

7.

11.1无增强要求

7.

11.2云服务商应）提供或支持客户部署满足国家密码管理规定的数据加密方案，确保客户的数据在云计算平台以密文a形式存储）提供或支持客户部署密钥管理解决方案，确保云服务商或任何第三方无法对客户的数据进行解bo最小特权

7.12一般要求

7.

12.1云服务商为用户提供的访问权限应是其完成指定任务所必需的，应符合本组织的业务需求增强要求

7.

12.2云服务商应）对［赋值云服务商定义的安全功能和安全相关信息］的访问进行明确授权a）应将特权功能的执行纳入信息系统需要审计的事件中b）确保具有访问系统安全功能或安全相关信息特权的账号或角色用户，当访问非安全功能时，使用非c特权账号或角色）限制［赋值云服务商定义的人员或角色］具有特权账号d）确保信息系统能够阻止非特权用户执行特权功能，以防禁止、绕过、或替代已实施的安全措施e未成功的登录尝试

7.13一般要求

7.

13.1云服务商应）将［赋值云服务商定义的时间段］内的连续登录失败的上限限定为［赋值云服务商定义的次数］a）当登录失败次数超过上限时，系统将［选择锁定账号至［赋值云服务商定义的时间段］;管理员b解锁］增强要求

7.

13.2无系统使用通知

7.14一般要求

7.

14.1云服务商应）在准予用户访问系统之前，向用户显示系统使用通知消息或旗标，根据有关法律、法规、政策、标a准等来提供隐私和安全通知，并声明1）用户正访问政府或行业的信息系统）系统的使用过程可能被监视、记录并受到审计2）禁止对系统进行越权使用，否则将承担法律责任3）一旦使用该系统，则表明同意受到监视和记录4）在屏幕上保留通知消息或标语，直到用户采取明确的行动来登录系统或进一步使用系统b）对公众可访问的系统，采取如下措施c）在准予用户进一步访问系统之前，在［赋值云服务商定义的条件下］向用户显示系统使用信1息）在向公众用户显示的通知中，对系统的授权使用方式进行描述2增强要求无前次访问通知

7.15一般要求

7.

15.1云服务商应在用户登录系统后，显示前一次登录日期和时间增强要求

7.

15.2无并发会话控制

7.16一般要求

7.

16.1无增强要求

7.

16.2云服务商应确保在信息系统中同一［赋值云服务商定义的账号］不允许有两个或两个以上的并发会话会话锁定

7.17一般要求

7.

17.1无增强要求

7.

17.2云服务商应）当用户在［赋值云服务商定义的时间段］内未活动，或用户主动发起锁定指令时，实施会话锁定，a以防止继续访问信息系统）保持会话锁定，直到用户通过已有的标识和鉴别过程，再次建立连接b）信息系统应隐藏锁定前可见的信息，并显示公开可见的图像c未进行标识和鉴别情况下可采取的行动

7.18一般要求

7.

18.1云服务商应）确定无需进行标识和鉴别即可在云平台上实施的［赋值云服务商定义的用户行为］,该行为要符a合云服务商的安全策略，并且与云平台上系统的功能相一致）在信息系统安全计划中记录下不需要标识或鉴别的用户行为，并说明理由b增强要求

7.

18.2无安全属性

7.19一般要求

7.

19.1无增强要求

7.

19.2云服务商应）提供关联手段，在信息的存储、处理、传输中，将［赋值云服务商定义的安全属性］与信息相关a联）确保已建立并维持了信息与安全属性之间的关联b）为每个已建立的安全属性确定许可的［赋值云服务商定义的值或范围］c远程访问

7.20一般要求

7.

20.1云服务商应）对［赋值云服务商定义的远程访问方法］明确使用限制、配置和连接要求a）明确远程访问的实施条件，采取有关措施保证远程访问的安全b）在允许远程连接前，对远程方式进行授权c）实时监视未授权的云服务远程连接，并在发现未授权连接时，采取恰当的应对措施d增强要求

7.

20.2云服务商应）自动监视和控制远程访问会话，以检测网络攻击，确保远程访问策略得以实现a系统与通信保护613策略与规程

6.113边界保护

6.214传输保密性和完整性

6.314网络中断

6.415可信路径

6.515密码使用和管理

6.615协同计算设备

6.715移动代码

6.815会话认证

6.915移动设备的物理连接

6.1016恶意代码防护

6.1116内存防护

6.1216系统虚拟化安全性

6.1316网络虚拟化安全性

6.1417访问控制717策略与规程

7.117用户标识与鉴别

7.218设备标识与鉴别

7.318标识符管理

7.418鉴别凭证管理

7.518鉴别凭证反馈

7.619密码模块鉴别

7.719账号管理

7.820访问控制的实施

7.920信息流控制

7.1021存储加密

7.1121最小特权

7.1221未成功的登录尝试

7.1322系统使用通知

7.1422前次访问通知

7.1522并发会话控制

7.1622会话锁定

7.1723未进行标识和鉴别情况下可采取的行动

7.1823安全属性

7.1923远程访问

7.2023无线访问

7.2124）使用密码机制，以保证远程访问会话的保密性和完整性b）确保所有远程访问只能经过有限数量的、被管理的访问控制点c）对远程执行特权命令进行限制（如删除虚拟机、创建系统账号、配置访问授权、执行系统管理功能、d审计系统事件或访问事件日志、、等），仅在为满足［赋值云服务商定义的需求］的情况下，SSH VPN才能通过远程访问的方式，授权执行特权命令或访问安全相关信息，并采取更严格的保护措施且进行审计安全计划中应说明这种远程访问的合理性）在远程访问时禁止使用非安全的网络协议，例如（简单文件传输协议）、e TFTPX-Windows.Sun Open、、、服务（如、）、、、Windows FTPTELNET IPX/SPX NETBIOSRPC NISNFS rlogin/rsh/rexec RIPUUCP、等NNTP P2P无线访问

7.21一般要求

7.

21.1云服务商应禁用无线网络直接访问云计算平台增强要求

7.

21.2无外部信息系统的使用

7.22一般要求

7.

22.1云服务商应）明确列出何种情况下允许授权人员通过外部信息系统，对云计算平台进行访问a）明确列出何种情况下允许授权人员利用外部信息系统，对云计算平台上的信息进行处理、存储或传b输增强要求

7.

22.2云服务商应）确保只在以下情况下允许授权人员通过外部信息系统进行访问，或利用这些信息系统处理、存储、a传输云计算平台上的信息）外部信息系统正确实现了云服务商的信息安全策略和安全计划所要求的安全措施，并通过了第1三方评估机构的测试）与外部系统所在实体签订了系统连接或处理协议，该协议应经过第三方评估机构的评价）［选2b择限制；禁止］授权人员在外部信息系统上使用由云服务商控制的移动存储介质信息共享

7.23一般要求

7.

23.1无增强要求

7.

23.2云服务商应）允许授权用户判断共享伙伴的访问授权是否符合［赋值云服务商定义的信息共享环境］中的信息a访问限制策略，以促进信息共享）使用［赋值云服务商定义的自动机制或人工过程］,以协助用户作出信息共享决策b可供公众访问的内容

7.24一般要求

7.

24.1云服务商应）指定专人负责发布公开信息a）对该人进行培训，确保发布的信息不含有非公开信息b）发布信息前进行审查，防止含有非公开信息c）按照［赋值云服务商定义的频率］审查公开发布的信息中是否含有非公开信息，一经发现，立即d删除增强要求

7.

24.2无数据挖掘保护

7.25一般要求

7.

25.1无增强要求

7.

25.2云服务商应使用［赋值云服务商定义的数据挖掘防范和检测技术］,充分检测和防范对［赋值云服务商定义的数据存储介质］进行的数据挖掘介质访问和使用

7.26一般要求

7.

26.1云服务商应）只允许［赋值云服务商定义的人员或角色］访问［赋值云服务商定义的数字或非数字介质］a）在［赋值云服务商定义的介质］报废、云服务商控制之外使用、回收再利用前，采用［赋值云服b务商定义的介质净化技术和规程］对其进行净化，所采用净化机制的强度、覆盖范围应与其中信息类别或敏感级别相匹配）［选择限制；禁止］在［赋值云服务商定义的系统或组件］中使用［赋值云服务商定义的介c质］增强要求

7.

26.2云服务商应）采用自动机制来限制对各类介质的访问，并对介质访问情况进行审计a）对各类介质进行标记，以标明其中所含信息的分发限制、处理注意事项以及其他有关安全标记（如b敏感级））在受控区域中，采取物理控制措施并安全地存储磁带、外置或可移动硬盘、驱动器、等介c FlashCD质，并对这些介质提供持续保护，直到对其进行破坏或净化）在受控区域之外传递数字介质时，采用密码机制来保护其中信息的保密性和完整性d）确保各类介质在受控区域之外的传递过程得到记录e服务关闭和数据迁移

7.27一般要求

7.

27.1云服务商应）在客户与其服务合约到期时，能够安全地返还客户信息a）在客户定义的时间内，删除云服务平台上存储的客户信息，并确保不能以商业市场的技术手段恢复b）为客户将信息迁移到其他云服务平台提供技术手段，并协助完成数据迁移c增强要求

7.

27.2无配置管理8策略与规程

8.1一般要求

8.

1.1）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）配置管理策略（包括基线配置策略、软件使用与限制策略等），涉及以下内容目的、范围、角1色、责任、管理层承诺、内部协调、合规性）相关规程，以推动配置管理策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新配置管理策略及相关规程b增强要求

8.

1.2无配置管理计划

8.2一般要求

8.

2.1无增强要求

8.

2.2云服务商应）制定并实施云计算平台的配置管理计划a）在配置管理计划中，规定配置管理相关人员的角色和职责，并详细规定配置管理的流程b）在系统生命周期内，建立配置项标识和管理流程c）定义信息系统的配置项并将其纳入配置管理计划d）保护配置管理计划，以防未授权的泄露和变更e基线配置

8.3一般要求

8.

3.1云服务商应按照配置要求制定、记录并维护信息系统当前的基线配置增强要求

8.

3.2云服务商应）在以下情况时重新审查和更新基线配置a1）按照［赋值云服务商定义的频率］）当系统发生重大变更时2）安装和更新系统组件后3）保留［赋值云服务商定义的信息系统基线配置的历史版本］,以便必要时恢复配置b）在云计算平台相关设施或设备将被携至高风险地区时，按照［赋值云服务商定义的配置要求］进c行配置；返回后，按照［赋值云服务商定义的安全防护措施］,对设备进行防护变更控制

8.4一般要求

8.

4.1云服务商应）明确云计算平台中有哪些变更需要包含在系统受控配置列表中，如主机配置项、网络配置项等a）明确需定期变更的受控配置列表，并按照［赋值云服务商定义的频率］对病毒库、入侵检测规则b库、防火墙规则库、漏洞库等与信息安全相关的重要配置项进行更新）在云计算平台上实施变更之前，对信息系统的变更项进行分析，以判断该变更事项对云计算安全带c来的潜在影响）审查所提交的信息系统受控配置的变更事项，根据安全影响分析结果进行批准或否决，并记录变更d决定）保留信息系统中受控配置的变更记录e）按照［赋值云服务商定义的频率］对与系统受控配置的变更有关的活动进行审查f）明确受控配置变更的管理部门，负责协调和监管与受控配置变更有关的活动g）根据客户的要求，确定应报告的配置变更事项在实施这些变更之前，向客户提供下列变更信息h1）变更计划发生的日期和时间）系统变更的详细信息2）变更的安全影响分析结论3增强要求

8.

4.2云服务商应）在云计算平台上实施变更之前，对受控配置变更项进行测试、验证和记录a）对云计算平台上的变更实施物理和逻辑访问控制，并对变更动作进行审计b）限制信息系统开发方和集成方对生产环境中的信息系统及其硬件、软件和固件进行直接变更c）按照［赋值云服务商定义的频率］,对信息系统开发方和集成方掌握的变更权限进行审查和再评d估设置配置项的参数

8.5一般要求

8.

5.1云服务商应）按照［赋值云服务商定义的安全配置核对表］,建立并记录信息系统中所使用的信息技术产品的a配置设置）按照上述配置设置，对信息系统中所使用的信息技术产品的配置项进行参数设置b）如因［赋值云服务商定义的运行需求］或其他原因，出现［赋值云服务商定义的信息系统组件］c的配置参数与已设配置不符的情况，记录相关信息，并经过［赋值云服务商定义的人员或角色］的批准）监控配置项设置参数的变更d增强要求

8.

5.2云服务商应）使用自动机制对配置项的参数进行集中管理、应用和验证a）按照［赋值云服务商定义的安全措施］,处理对［赋值云服务商定义的配置设置］的未授权变更b对未授权变更的响应措施包括更换有关人员，恢复已建立的配置，或在极端情况下中断受影响的信息系统的运行等最小功能原则

8.6一般要求

8.

6.1云服务商应）对云计算平台按照仅提供必需功能进行配置，以减少系统面临的风险a）禁止或限制使用［赋值云服务商定义的功能、端口、协议或服务］b增强要求

8.

6.2云服务商应）按照［赋值云服务商定义的频率］,对信息系统进行审查，以标识不必要或不安全的功能、端口、a协议或服务）关闭［赋值云服务商定义的不必要或不安全的功能、端口、协议和服务］b）信息系统应按照［选择［赋值云服务商定义的软件使用与限制策略］;对软件使用的授权规则］,c禁止运行相关程序）按照白名单策略，确定［赋值云服务商定义的在云计算平台上允许运行的软件］,禁止未授权软d件在云计算平台上运行，并按照［赋值云服务商定义的频率］,审查和更新授权软件列表信息系统组件清单

8.7一般要求

8.

7.1云服务商应）制定和维护信息系统组件清单，该清单应满足下列要求a1）能准确反映当前信息系统的情况）与信息系统边界一致2）达到信息安全管理所必要的颗粒度3）包含［赋值云服务商定义的为实现有效的资产追责所必要的信息］4）按照［赋值云服务商定义的频率］,审查并更新信息系统组件清单b）当安装或移除一个完整的系统组件时，或当信息系统更新时，更新其信息系统组件清单c）确认云计算服务平台的所有组件均已列入资产清单，如该组件属于其他组织，应予以注明并说明原d因增强要求

8.

7.2云服务商应）按照［赋值云服务商定义的频率］，使用自动机制检测云计算服务平台中新增的未授权软件、硬a件或固件组件）当检测到未授权的组件或设备时应［选择禁止其网络访问；对其进行隔离；通知［赋值云服务b商定义的人员或角色上）使用自动机制维护信息系统组件清单c.维护9策略与规程

9.1一般要求

9.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a1）系统维护策略（包括远程维护策略），涉及以下内容目的、范围、角色、责任、管理层承诺、内部协调、合规性）相关规程，以推动系统维护策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新系统维护策略及相关规程b增强要求

9.

1.2无受控维护

9.2一般要求

9.

2.1云服务商应）根据供应商的规格说明以及自身的业务要求，对云计算平台组件的维护和修理进行规划、实施、记a录，并对维护和修理记录进行审查）审批和监视所有维护行为，不论是现场维护还是远程维护，也不论被维护对象是在现场还是被转移b到其他位置）在将云计算平台组件转移到云服务商外部进行非现场的维护或修理前，对设备进行净化，清除与之c相关联的介质中的信息）在对云计算平台或组件进行维护或修理后，检查所有可能受影响的安全措施，以确认其仍正常发挥d功能）在维护记录中，至少应包括维护日期和时间、维护人员姓名、陪同人员姓名（如有必要）、对维e护活动的描述、被转移或替换的设备列表（包括设备标识号）等信息增强要求

9.

2.2云服务商应确保，在将云计算平台的组件转移到云服务商外部进行非现场的维护或修理前，获得［赋值云服务商定义的人员或角色］的批准维护工具

9.3一般要求

9.

3.1云服务商应审批、控制并监视信息系统维护工具的使用增强要求

9.

3.2云服务商应）检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改a）在存有诊断和测试程序的介质被使用之前，对其进行恶意代码检测b）为防止具有信息存储功能的维护设备在未授权情况下被转移出云服务商，采取以下一种或多种措施，c并获得本组织安全责任部门的批准1）验证待转移维护设备中没有云服务商和用户的信息）净化或破坏设备2）将维护设备留在场所内部3远程维护

9.4一般要求

9.

4.1云服务商应）明确规定建立和使用远程维护和诊断连接的策略和规程，对远程维护和诊断进行审批和监视a）仅允许使用符合［赋值云服务商定义的远程维护策略］,并明确列出的远程维护和诊断工具b）在建立远程维护和诊断会话时采取强鉴别技术c）建立和保存对远程维护和诊断活动的记录d）在远程维护完成后终止会话和网络连接e）对所有远程维护和诊断活动进行审计，按照［赋值云服务商定义的频率］对所有远程维护和诊断会f话的记录进行审查增强要求

9.

4.2无维护人员

9.5一般要求

9.

5.1云服务商应）建立对维护人员的授权流程，对已获授权的维护组织或人员建立列表a）确保只有列表中的维护人员，才可在没有人员陪同时进行系统维护；不在列表中的人员，必须在授b权且技术可胜任的人员陪同与监管下，才可开展维护活动增强要求

9.

5.2无及时维护

9.6一般要求

9.

6.1云服务商应建立［赋值云服务商定义的系统组件］的备品备件列表，并落实相关的措施这些备品备件应能在发生故障的［赋值云服务商定义的时间段］内投入运行增强要求

9.

6.2无缺陷修复

9.7一般要求

9.

7.1云服务商应）标识、报告和修复云计算平台的缺陷a）在与安全相关的软件和固件升级包发布后，及时安装升级包b）在安装前测试与安全缺陷相关的软件和固件升级包，验证其是否有效，以及验证其对云计算平台可c能带来的副作用）将缺陷修复纳入组织的配置管理过程之中d增强要求

9.

7.2云服务商应使用自动检测机制，按照［赋值云服务商定义的频率］对缺陷修复后的组件进行检测安全功能验证

9.8一般要求

9.

8.1云服务商应）验证［赋值云服务商定义的安全功能］是否正常运行a）在发生［赋值云服务商定义的系统转换状态］时，或者按照［赋值云服务商定义的频率］,对安b全计划中的安全功能实施安全验证）当自动实施的安全验证失败时，通知［赋值云服务商定义的人员或角色］c）当发生异常情况时，关闭或重启信息系统，或者采取［赋值云服务商定义的行为］d增强要求

9.

8.2无软件、固件、信息完整性

9.9一般要求

9.

9.1云服务商应）建立完整性评估流程，确保软件、固件、信息的完整性a）具备检测［赋值云服务商定义的软件、固件或信息］遇到的未授权更改的能力b增强要求

9.

9.2云服务商应）按照［赋值云服务商定义的频率］对云计算平台进行完整性扫描，并重新评估软件、固件和信息a的完整性）确保云计算平台具有检测未授权系统变更的能力，并制定响应措施b）在云平台上安装软件之前，验证其完整性c应急响应与灾备10策略与规程

10.1一般要求

10.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）事件处理策略、灾备与应急响应策略（包括备份策略），涉及以下内容目的、范围、角色、1责任、管理层承诺、内部协调、合规性）相关规程，以推动事件处理策略、灾备与应急响应策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新事件处理策略、灾备与应急响应策略及相关规程b增强要求

10.

1.2无事件处理计划

10.2一般要求

10.

2.1云服务商应）制定信息系统的事件处理计划，该计划应a）说明启动事件处理计划的条件和方法1）说明事件处理能力的组织结构2）定义需要报告的安全事件3）提供组织内事件处理能力的度量目标4）定义必要的资源和管理支持，以维护和增强事件处理能力5）由［赋值云服务商定义的人员或角色］审查和批准6）向［赋值云服务商定义的人员、角色或部门］,发布事件处理计划b）按照［赋值云服务商定义的频率］,审查事件响应计划c）如系统发生变更或事件响应计划在实施、执行或测试中遇到问题，及时修改事件处理计划并通报［赋d值云服务商定义的人员、角色或部门］）防止事件处理计划未授权泄露和更改e增强要求

10.

2.2无事件处理

10.3一般要求

10.

3.1云服务商应）为安全事件的处理提供必需的资源和管理支持a）协调应急响应活动与事件处理活动，并与相关外部组织（如供应链中的外部服务提供商等）进行协b调）将当前事件处理活动的经验，纳入事件处理、培训及演练计划，并实施相应的变更c增强要求

10.

3.2云服务商应使用自动机制支持事件处理过程安全事件报告

10.4一般要求

10.

4.1云服务商应）根据应急响应计划，监控和报告安全事件a）当发现可疑的安全事件时，在［赋值云服务商定义的时间段］内，向本组织的事件处理部门报告b）建立事件报告渠道，当发生影响较大的安全事件时，向国家和地方应急响应组织及有关信息安全主c管部门报告增强要求

10.

4.2云服务商应使用自动机制支持事件报告过程事件响应支持

10.5一般要求

10.

5.1云服务商应落实事件处理所需的各类支持资源，为用户处理、报告安全事件提供咨询和帮助增强要求

10.

5.2云服务商应）使用自动机制，提高事件响应支持资源的可用性a）在事件处理部门和外部的信息安全组织之间建立直接合作关系，能够在必要时获得外部组织的协助b安全警报

10.6一般要求

10.

6.1云服务商应）持续不断地从国家和地方应急响应组织及有关信息安全主管部门接收安全警报、建议和指示a）在必要时发出内部的安全警报、建议和指示b）向［选择［赋值云服务商定义的人员、角色或部门］;［赋值云服务商定义的外部组织］］,c传达安全警报、建议和指示）能够在已经确立的时间段内针对安全警报、建议和指示作出反应，如无法作出反应，向安全警报、d建议和指示的下达部门及客户告知原因增强要求

10.

6.2无错误处理

10.7一般要求

10.

7.1云服务商应）标识出信息系统各类安全相关错误的状态a）在错误日志和管理员消息中产生出错消息，并提供必要信息用于更正活动，但出错消息不能泄露以b下情况）用户名和口令的组合1）用来验证口令重设请求的属性值（如安全提问）2）可标识到个人的信息3）用于鉴别身份的生物数据或人员特征4）与内部安全功能有关的内容（如私钥、白名单或黑名单规则）5）其他重要或敏感数据6）只向授权人员展现出错消息c增强要求

10.

7.2无应急响应计划

10.8一般要求

10.

8.1云服务商应）制定信息系统的应急响应计划，该计划应a）标识出信息系统的基本业务功能及其应急响应需求1）进行业务影响分析，标识关键信息系统和组件及其安全风险，确定优先次序2）提供应急响应的恢复目标、恢复优先级和度量指标3）描述应急响应的结构和组织形式，明确应急响应责任人的角色、职责及其联系信息4）由［赋值云服务商定义的人员或角色］审查和批准5）将应急响应计划向［赋值云服务商定义的人员、角色或部门］进行通报b）按照［赋值云服务商定义的频率］更新应急响应计划c）如系统发生变更或应急响应计划在实施、执行或测试中遇到问题，及时修改应急响应计划并向［赋值d云服务商定义的人员、角色或部门］及客户进行通报）防止应急响应计划未授权泄露和更改e）在发生安全事故时，确保应急响应计划的实施能够维持信息系统的基本业务功能，并能最终完全恢f复信息系统且不消弱原来规划和实施的安全措施）当本组织的管理架构、云计算平台或运行环境发生变更时，及时更新应急响应计划g增强要求

10.

8.2云服务商应）进行容量规划，以确保应急操作过程中具备必要的信息处理容量、通信容量和环境支持能力a）列明用于支撑基本业务功能的关键信息系统资产b）能够在应急响应计划启动后［赋值云服务商定义的时间段］内，恢复信息系统的基本业务功能，以c及应急响应计划启动后［赋值云服务商定义的时间段］内，恢复信息系统的所有业务功能应急培训

10.9一般要求

10.

9.1云服务商应）向［赋值云服务商定义的人员或角色］提供应急响应培训a）当信息系统变更时，或按照［赋值云服务商定义的频率］,重新开展培训b增强要求

10.

9.2无外部信息系统的使用

247.22信息共享

7.232424可供公众访问的内容

247.数据挖掘保护

7.2525介质访问和使用

7.2625服务关闭和数据迁移

7.2725配置管理826策略与规程

8.126配置管理计划

8.226基线配置

8.3264变更控制

8.26设置配置项的参数

8.527最小功能原则

8.627信息系统组件清单

8.

728.维护928策略与规程

9.128受控维护

9.229维护工具

9.329远程维护

9.429维护人员

9.530及时维护

9.630缺陷修复

9.730安全功能验证

9.830软件、固件、信息完整性

9.930应急响应与灾备103110・1策略与规程31事件处理计划

10.231事件处理

10.331安全事件报告

10.432事件响应支持

10.5532安全警报

10.632错误处理

10.732应急响应计划

10.833应急培训

10.933应急演练

10.1034信息系统备份

10.1134应急演练

10.10一般要求

10.

10.1云服务商应）至少每年向客户提交应急演练计划，并得到客户的批准a）根据得到客户批准的演练计划，按照［赋值云服务商定义的频率］,对信息系统的应急响应计划b进行演练）与客户和其他有关部门（如应急响应组织）进行沟通协调，为应急演练提供保障条件c）记录和核查应急演练结果，并根据需要修正应急响应计划c）向客户提供演练记录、演练总结报告等d增强要求

10.

10.2云服务商应将信息系统备份能力列入演练计划，包括检验备份的可靠性和信息完整性信息系统备份

10.11一般要求

10.

11.1云服务商应）具备系统级备份能力，按照［赋值云服务商定义的频率］,对信息系统中的系统级信息进行备份，a如系统状态、操作系统及应用软件）防止通过备份过程访问客户的明文数据b）为用户提供多种不同的备份方案c）在存储位置保护备份信息的保密性、完整性和可用性d）具有验证信息系统备份连续有效的方法，并按照［赋值云服务商定义的频率］进行验证e）向客户提供下列信息，以支持客户制定其自身的备份策略和规程f1）备份的范围）备份方式和数据格式2）验证备份数据完整性的规程3）从备份数据恢复的规程4增强要求

10.

11.2云服务商应具备异地的系统级热备能力，按照［赋值云服务商定义的频率］对系统级信息进行增量备份，以及按照［赋值云服务商定义的频率］对系统级信息进行全量备份支撑客户的业务连续性计划

10.12一般要求

10.

12.1云服务商应）对云计算服务为客户业务连续性带来的风险进行评估，包括云计算服务失败、云服务商和客户之间a网络连接中断、云计算服务终止等，并将相关的风险信息告知客户）将应急响应计划、灾难恢复计划及支撑客户实施业务连续性计划的有关措施告知客户，并根据客户b的业务连续性计划的需要，对应急响应计划、灾难恢复计划进行调整增强要求

10.

12.2无电信服务

10.13一般要求

10.

13.1无增强要求

10.

13.2云服务商应）建立备用电信服务，当主通信能力不可用时，确保在满足客户业务需求的时间段内恢复云计算平台a系统的运行）制定主和备用通信服务协议，明确列出满足客户业务需求的服务供给优先级b）与不同的电信运营商签署主和备用通信服务协议c审计11策略与规程

11.1一般要求

11.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）审计策略，涉及以下内容目的、范围、角色、责任、管理层承诺、内部协调、合规性1）相关规程，以推动审计策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新审计策略及相关规程b增强要求1LL2无可审计事件

11.2一般要求

11.

2.1云服务商应）制定并维护［赋值云服务商定义的可审计事件］的审计记录，如账号登录、账号管理、客体访问、a策略变更、特权功能、系统事件等）建立协调机制，与本组织内外需要审计信息的其他组织就安全审计功能进行协调，以增强相互间的b支持，协调确定可审计事件清单）制定信息系统内需连续审计的事件清单，并确定各事件的审计频率，该清单为上述可审计事件清单c的子集增强要求1122云服务商应按照［赋值云服务商定义的频率］对可审计清单进行审查和更新审计记录内容

11.3一般要求

11.

3.1云服务商应确保审计记录内容至少包括事件类型、事件发生的时间和地点、事件来源、事件结果以及与事件相关的用户或主体的身份增强要求1132云服务商应确保审计记录内容还包括会话、连接、事务、活动持续期、接收和发出的字节数量、用于诊断或标识事件的附加信息报文、用于描述和标识行动客体或资源的特征等信息审计记录存储容量

11.4一般要求

11.

4.1云服务商应按照［赋值云服务商定义的审计记录存储要求］配置审计记录存储容量增强要求1142无审计过程失败时的响应

11.5一般要求

11.

5.1云服务商应）在信息系统的审计过程失败时，向［赋值云服务商定义的人员或角色］报警a）在审计过程失败后对系统进行停机处理b增强要求1152无审计的审查、分析、报告

11.6一般要求

11.

6.1云服务商应）按照［赋值云服务商定义的频率］对审计记录进行审查和分析，以发现［赋值云服务商定义的不a当或异常活动］,并向［赋值云服务商定义的人员或角色］报告）当法律法规、客户的需求或信息系统面临的威胁环境发生变化时，调整对审计记录进行审查、分析、b报告的策略）向客户提供审计分析报告，该报告至少包括下述内容，以便对云服务商的服务情况进行监管c1）提供的云计算性能指标是否达到服务级别要求）云计算平台信息安全状态的整体描述2）审计中发现的异常情况以及处置情况3）云计算平台中涉及客户的敏感操作的情况及其统计分析4）云计算平台远程访问的总体情况及其统计分析5增强要求1162云服务商应）使用自动机制对审查、分析和报告过程进行整合，以支持对可疑活动的调查和响应a）对不同审计库上的审计记录进行关联性分析，以便形成整体态势感知b审计处理和报告生成

11.7一般要求

11.

7.1云服务商应提供审计处理和审计报告生成的功能，并满足以下要求）支持实时或准实时的审查、分析和报告，以及安全事件事后调查a）审计处理和报告工具应不改变原始的审计数据b增强要求

11.

7.2云服务商应能够根据［赋值云服务商定义的审计记录中的审计类别］，按照需求对审计记录进行处理审计类别包括用户身份、事件类型、事件发生位置、事件发生时间以及事件涉及的地址和系统资源等IP时间戳

11.8一般要求

11.

8.1云服务商应使用云计算平台内部系统时钟生成审计记录的时间戳，并满足［赋值云服务商定义的时间粒度］增强要求1182云服务商应按照［赋值云服务商定义的频率］将云计算平台内部系统时钟与国家授时中心权威时间源进行同步审计信息保护

11.9一般要求

11.

9.1云服务商应）保护审计信息和审计工具，以免遭受未授权访问、篡改或删除a）向客户提供证据，证明所有提供给客户的审计数据都是真实、完整的，未被修改、隐藏或删除b增强要求1192云服务商应）按照［赋值云服务商定义的频率］将审计记录备份到与所审计系统或组件不处于同一物理位置的a系统或组件之中）将对审计管理功能的访问授权限制为［赋值云服务商定义的特权用户子集］b不可否认性

11.10一般要求

11.

10.1云服务商应确保［赋值云服务商定义的不可否认操作］的不可否认性增强要求

11.

10.2无审计记录留存

11.11一般要求

11.

11.1云服务商应按照［赋值云服务商定义的符合记录留存策略的时间段］来在线保存审计记录，以支持安全事件的事后调查，并应符合法律法规及客户的信息留存的要求增强要求1L1L2无风险评估与持续监控12策略与规程

12.1一般要求

12.

1.1云服务商应）制定综合策略来管理因信息系统的运行和使用给组织运营和本组织及相关方带来的风险，并实施贯a穿整个组织的综合风险管理策略）制定如下具体策略与规程，并分发至［赋值云服务商定义的人员或角色］:b）风险评估策略、持续性的监控策略，涉及以下内容目的、范围、角色、责任、管理层承诺、1内部协调、合规性）相关规程，以推动风险评估策略、持续性的监控策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］或当需要时，审查和更新综合风险管理策略、风险评估策略、持c续性的监控策略及相关规程增强要求

12.

1.2无风险评估

12.2一般要求

12.

2.1云服务商应）在建设云计算平台信息系统时进行风险评估a）按照［赋值云服务商定义的频率］定期开展风险评估，或者在信息系统或运行环境发生重大变更b（包括发现新的威胁和漏洞）时,或者在出现其他可能影响系统安全状态的条件时，重新进行风险评估）将评估结果记录在风险评估报告中，并将风险评估结果发布至［赋值云服务商定义的人员或角色］c）根据风险评估报告，有针对性地对云计算平台信息系统进行安全整改，将风险降低到［赋值云服d务商定义的可接受的水平］增强要求1222无脆弱性扫描

12.3一般要求

12.

3.1云服务商应）使用脆弱性扫描工具和技术，按照［赋值云服务商定义的频率］对云计算平台信息系统及其上的a应用程序进行脆弱性扫描，并标识和报告可能影响该系统或应用的新漏洞）根据风险评估或脆弱性扫描结果，在［赋值云服务商定义的响应时间段］内修复漏洞b）在本组织范围内与［赋值云服务商定义的人员或角色］共享脆弱性扫描和安全评估过程得到的信c息，以及时消除其他信息系统中的类似漏洞增强要求1232云服务商应）确保所使用的脆弱性扫描工具具有迅速更新漏洞库的能力a）按［选择［赋值云服务商定义的频率］;启动新的扫描前；新的漏洞信息发布后］更新信息系统b漏洞库）确保所使用的脆弱性扫描工具能够展现扫描所覆盖的广度和深度（如已扫描的信息系统组件和已核c查的漏洞））在脆弱性扫描活动中，使用特权账号对［赋值云服务商定义的信息系统组件］进行［赋值云服务d商定义的脆弱性扫描行动］,以实现更全面扫描）使用自动机制比较不同时间的脆弱性扫描结果，以判断信息系统漏洞趋势e持续监控

12.4一般要求

12.

4.1云服务商应）制定持续性的监控策略，并实施持续性监控，内容包括a1）确定待监控的度量指标）确定监控频率2）根据客户的持续监控要求，实施安全评估b）根据持续性监控策略，对已定义的度量指标进行持续的安全状态监控c）对评估和监控产生的安全相关信息进行关联和分析d）对安全相关信息分析结果进行响应e）按照［赋值云服务商定义的频率］向［赋值云服务商定义的人员或角色］报告信息系统安全状态f增强要求1242云服务商应每年安排实施未事先声明的渗透性测试以及深度检测，以验证系统的安全状态信息系统监测

12.5一般要求

12.

5.1云服务商应）能够针对［赋值云服务商定义的监测目标］,发现攻击行为a）能够检测出未授权的本地、网络和远程连接b）能够通过［赋值云服务商定义的技术和方法］,发现对信息系统的未授权使用c）能够对入侵监测工具收集的信息进行保护，防止未授权访问、修改或删除d）当威胁环境发生变化、信息系统风险增加时，提升信息系统监测级别e）确保信息系统监控活动符合关于隐私保护的相关政策法规f）按照需要或［赋值云服务商定义的频率］,向［赋值云服务商定义的人员或角色］提供［赋值g云服务商定义的信息系统监控信息增强要求1252云服务商应）使用自动工具对攻击事件进行准实时分析a）信息系统应按照［赋值云服务商定义的频率］监测进出的通信，以发现异常或未授权的行为b）当下述迹象发生时，信息系统应向［赋值云服务商定义的人员或角色］发出警报c）受保护的信息系统文件或目录在没有得到正常的变更或配置管理渠道通知的情况下被修改1）信息系统性能显示的资源消耗情况与预期的操作条件不符2）审计功能被禁止或修改，导致审计可见性降低3）审计或日志记录在无法解释的情况下被删除或修改4）预期之外的用户发起了资源或服务请求5）信息系统报告了管理员或关键服务账号的登录失败或口令变更情况6）进程或服务的运行方式与系统的一般情况不符7）在生产系统上保存或安装程序、工具、脚本，但却没有清晰指明其用途8）防止未授权用户绕过入侵检测和入侵防御机制d）对信息系统运行状态（包括、内存、网络）进行监视，并能够对资源的非法越界使用发出警报e CPU垃圾信息监测

12.6一般要求

12.

6.1云服务商应）在系统的出入口和网络中的工作站、服务器或移动计算设备上部署垃圾信息监测与防护机制，以检a测并应对电子邮件、电子邮件附件、访问或其他渠道的垃圾信息web）在出现新的发布包时，及时更新垃圾信息监测与防护机制b增强要求1262云服务商应）采取集中的监测与防护机制管理垃圾信息a）自动更新垃圾信息监测与防护机制b安全组织与人员13策略与规程

13.1一般要求

13.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）安全组织策略、人员安全策略和安全意识及培训策略，涉及以下内容目的、范围、角色、责1任、管理层承诺、内部协调、合规性）相关规程，以推动安全组织策略、人员安全策略和安全意识及培训策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新安全组织策略、人员安全策略和安全意识及培训策b略及相关规程增强要求

13.L2无安全组织

13.2一般要求

13.

2.1云服务商应）建立管理框架来启动和控制组织内信息安全的实现a）设立［赋值云服务商定义的人员或角色］作为信息安全的第一负责人，由本组织最高管理层1人员担任）设立［赋值云服务商定义的部门］作为信息安全的责任部门，并通过［赋值云服务商定义的2机制］与本组织其他业务部门协调）建立［赋值云服务商定义的机制］,以保持与［赋值云服务商定义的外部组织］的适当联系b）实施内部威胁防范程序，包括跨部门的内部威胁事件处理团队c增强要求1322无安全资源

13.3一般要求

13.

3.1云服务商应）对信息安全资源需求进行详细分析，并确保这些资源的可用性a）建立和维护信息系统的资产清单，该清单涵盖但不限于本标准条所规定的信息系统组件清单b

8.7增强要求1332无安全规章制度

13.4一般要求

13.

4.1云服务商应）制定信息安全规章制度，并传达至内外部相关人员a）在信息安全策略或计划发生变更时，或者按照［赋值云服务商定义的频率］,评审和更新信息安b全规章制度，以确保其持续的适用性和有效性）建立［赋值云服务商定义的机制］,以监督检查信息安全规章制度的落实情况c增强要求1342无岗位风险与职责

13.5一般要求

13.

5.1云服务商应）标识出所有岗位的风险a）建立上岗人员的筛选准则b）按照［赋值云服务商定义的频率］,评审和更新各岗位的风险标识c）根据岗位风险，明确并分配所有岗位的信息安全职责，并与客户共同确定涉及云服务的安全职责d）对［赋值云服务商定义的关键职责］进行分离，并将职责分离情况记录在案，通过访问控制措施e进行落实增强要求1352无人员筛选

13.6一般要求

13.

6.1云服务商应）在授权访问信息系统前对访问人员进行筛选a）按照［赋值云服务商定义的再筛选条件和频率］,对访问人员进行再筛选b增强要求1362无人员离职

13.7一般要求

13.

7.1云服务商一旦决定终止某人员的雇佣，应）在［赋值云服务商定义的期限］内，禁止该人员对信息系统的访问a）终止或撤销与该人员相关的任何身份鉴别物或凭证b）与该人员进行离职面谈，包括商讨［赋值云服务商定义的信息安全事宜］c）收回该人员所有涉及安全的本组织信息系统相关资产d）确保之前由该人员控制的信息和信息系统仍然可用e）在［赋值云服务商定义的期限］内，通知［赋值云服务商定义的人员或角色］f增强要求

13.

7.2无人员调动

13.8云服务商应）在人员被再分配或调动至其他内部岗位时，评审和确认是否有必要保留其对信息系统或设施的逻辑a和物理访问权限）在［赋值云服务商定义的正式下达调令后期限］内，启动［赋值云服务商定义的再分配或调动行b动］）修改访问授权c）在［赋值云服务商定义的期限］内，通知［赋值云服务商定义的人员或角色］d增强要求无访问协议

13.9一般要求

13.

9.1云服务商应）制定云计算平台的访问协议a）按照［赋值云服务商定义的频率］,评审和更新该访问协议b）确保云计算平台的访问人员c1）在被授予访问权之前，签署合适的访问协议）根据工作需要，或者按照［赋值云服务商定义的频率］,重新签署访问协议2增强要求

13.

9.2无第三方人员安全

13.10一般要求

13.

10.1云服务商应）为第三方供应商（如服务组织、合同商、信息系统开发商、信息技术云服务商、外部应用提供商）a建立人员安全要求，包括安全角色和责任）要求第三方供应商遵守本组织的人员安全策略与规程b）要求第三方供应商在［赋值云服务商定义的期限］内，将拥有本组织凭证和（或）徽章或者具有c信息系统特权的第三方人员的任何调动或离职情况通知［赋值组织指定的人员或角色）监视第三方供应商的合规情况d增强要求

13.

10.2无人员处罚

13.11一般要求

13.

11.1云服务商应）对于违反信息安全策略与规程的人员，启用正式处罚程序a）在启动正式的员工处罚程序时，在［赋值云服务商定义的期限］内，通知［赋值云服务商定义的b人员或角色］,指明受处罚人员及处罚原因增强要求

13.

11.2无安全培训

13.12一般要求

13.

12.1云服务商应）在以下情况下为信息系统用户（包括管理层人员和合同商）提供基础的安全意识培训a）作为新用户初始培训的一部分1）在因信息系统变更而需要时2）按照［赋值云服务商定义的频率］3）在以下情况下为被分配了安全角色和职责的人员提供基于角色的安全技能培训b1）在授权访问信息系统或者执行所分配的职责之前）在因信息系统变更而需要时2）按照［赋值云服务商定义的频率］3）记录和监视人员的信息系统安全培训活动，包括基础的安全意识培训和特定的信息系统安全培训c）按照［赋值云服务商定义的时间段］，保存人员的培训记录d增强要求云服务商应在安全意识培训中加入有关发现和报告内部威胁的培训物理与环境安全14策略与规程

14.1一般要求

14.

1.1云服务商应）制定如下策略与规程，并分发至［赋值云服务商定义的人员或角色］:a）物理和环境安全防护策略，涉及以下内容目的、范围、角色、责任、管理层承诺、内部协调、1合规性）相关规程，以推动物理和环境安全防护策略及有关安全措施的实施2）按照［赋值云服务商定义的频率］审查和更新物理和环境安全防护策略及相关规程b增强要求

14.L2无物理设施与设备选址

14.2一般要求

14.

2.1云服务商应）在机房选址时，满足《电子信息系统机房设计规范》的相关规定a GB50174-2008）对机房面临的潜在物理和环境危险进行评估，形成评估报告，并在其风险管理策略中防范物理和环b境风险）控制机房位置信息的知悉范围c）确保机房位于中国司法管辖权范围之内d）确保云计算服务器及运行关键业务和数据的物理设备位于中国司法管辖权范围之内e增强要求

14.

2.2无支撑客户的业务连续性计划

10.1234电信服务

11.1334审计1135策略与规程

12.135可审计事件

11.235审计记录内容

11.335审计记录存储容量

11.435审计过程失败时的响应

11.536审计的审查、分析、报告

11.636审计处理和报告生成

11.736时间戳

11.836审计信息保护

11.93711不可否认性.1037审计记录留存

11.1137风险评估与持续监控1237策略与规程

12.137风险评估

12.

23812.

14.438信息系统监测

14.53912垃圾信息监测.639安全组织与人员134013策略与规程.14014安全组织.24015安全资源.34016安全规章制度.44017岗位风险与职责.54118人员筛选.64119人员离职.74120人员调动.84121访问协议

42.922第三方人员安全.104223人员处罚

42.

1124.12安全培训43物理与环境安全1443策略与规程

14.143物理和环境规划

14.3一般要求

14.

3.1云服务商应）在进行计算机机房设计时，满足《电子信息系统机房设计规范》的相关规定a GB50174-2008）合理划分机房物理区域，合理布置信息系统的组件，以防范［赋值云服务商定义的物理和环境潜b在危险（如火灾、电磁泄露等）］和非授权访问）提供足够的物理空间、电源容量、网络容量、制冷容量，以满足基础设施快速扩容的需求c增强要求

14.

3.2云服务商应将为客户提供服务的计算设施集中部署在隔离的物理区域物理环境访问授权

14.4一般要求

14.

4.1云服务商应）制定和维护具有机房访问权限的人员名单a）发布授权凭证b）按照［赋值云服务商定义的频率］对授权人员名单和凭证进行审查c）及时从授权访问名单中删除不再需要访问机房的人员d增强要求

14.

4.2云服务商应根据职位、角色以及访问的必要性对机房进行细粒度的物理访问授权物理环境访问控制

14.5一般要求

14.

5.1云服务商应）对所有机房的［赋值云服务商定义的机房出入点］实施物理访问授权，具体包括在准许进入机a房前验证其访问授权、使用［赋值云服务商定义的物理访问控制系统或设备］或警卫实施机房出入控制等）制定和维护［赋值云服务商定义的出入点］的物理访问审计日志b）为公共访问区提供［赋值云服务商定义的安全措施］,以实施访问控制c）在［赋值云服务商定义的需要对访客进行陪同和监视的环境］中，对访问者的行为进行陪同和监d视）确保钥匙、访问凭证以及其他物理访问设备的安全e）按照［赋值云服务商定义的频率］对［赋值云服务商定义的物理访问设备］进行盘点f）按照［赋值云服务商定义的频率］或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下，g更换钥匙和访问凭证增强要求1452除对机房出入口实施访问控制外，云服务商还应严格限制对云计算平台设备的物理接触通信能力防护

14.6一般要求

14.

6.1云服务商应使用［赋值云服务商定义的安全防护手段］对［赋值云服务商定义的云计算平台通信线路］进行保护增强要求1462无输出设备访问控制

14.7一般要求

14.

7.1云服务商应对［赋值云服务商定义的输出设备］进行物理访问控制，防止非授权人员获得输出的信息增强要求

14.

7.2云服务商应对［赋值云服务商定义的设备或网络］实施电磁泄漏防护技术，防止重要敏感信息泄露物理访问监控

14.8一般要求

14.

8.1云服务商应）对信息系统进行物理访问监视，以检测物理安全事件并做出响应a）按照［赋值云服务商定义的频率］,或当［赋值云服务商定义的事件发生或有迹象发生］时，对b物理访问日志进行审查）就审查和调查结果与云服务商的事件响应部门进行协调c）安装物理入侵警报装置d增强要求

14.

8.2云服务商应对物理入侵警报装置和监控设备进行监视访客访问记录

14.9一般要求

14.

9.1云服务商应）制定和维护云计算平台机房的访客访问记录，并保留至［赋值云服务商定义的时间段］a）按照［赋值云服务商定义的频率］对访问记录进行审查b增强要求

14.

9.2无电力设备和电缆安全保障

14.10一般要求

14.

10.1云服务商应）在设置供电电源技术指标、接地系统等时，符合《电子信息系统机房设计规范》的a GB50174-2008相关规定）对云计算平台的电源和电缆进行保护，以免受损或遭到破坏b）在发生紧急情况时，具有切断云计算平台及其单独系统组件电源的能力c）在云计算平台或系统组件机房外特定位置设置紧急断电开关或设备，以确保人员操作的安全和便捷d）对紧急断电设备进行保护，防止非授权触发e）提供短期不间断电源，以便在非正常停电时，正常关闭云计算平台f增强要求

14.

10.2云服务商应提供长期备用电源，以便在非正常停电时，在一段时间内维持云计算平台的最低功能应急照明能力

14.11一般要求

14.

11.1云服务商应为云计算平台配备应急照明设备并进行维护，并可在断电的情况下触发，应急照明包括机房内的紧急通道和疏散通道指示牌增强要求

14.

11.2无消防能力

14.12一般要求

14.

12.1云服务商应）按照《计算机场地安全要求》及其他有关标准规范的要求，设置消防系统a GB/T9361-2011）为云计算平台部署火灾检测和灭火设备/系统，并进行维护，灭火设备或系统应使用独立的电源b增强要求

14.

12.2云服务商应）部署火灾探测设备或系统，其在发生火灾时能够自动触发，并向应急响应部门发出警报a）部署灭火设备或系统，其在发生火灾时能够自动触发，并向应急响应部门发出警报b）在无人值守的机房部署自动灭火设备或系统c温湿度控制能力

14.13一般要求

14.

13.1云服务商应）维护云计算平台所在机房的温湿度，使其符合《电子信息系统机房设计规范》的相a GB50174-2008关规定）实时监控温湿度水平b增强要求

14.

13.2云服务商应在机房中使用自动温湿度控制措施，防止温湿度波动对信息系统造成潜在损害防水能力

14.14一般要求

14.

14.1云服务商应合理规划供水系统，保证总阀门正常可用，确保关键人员知晓阀门位置，以免信息系统受到漏水事故破坏增强要求

14.142无备运送和移除

14.143一般要求

14.

143.1云服务商应）建立重要设备台帐，明确设备所有权，并确定责任人a）对［赋值云服务商定义的信息系统组件］进入和离开机房进行授权和监控，并制定和维护相关记b录强要求

14.

143.2无附录系统安全计划模版A信息系统名称L云服务商应在下表中填入系统的标识信息表信息系统名称1-1系统名称适用的信息安全能力要求

2.云服务商应在下表中选择其适用的信息安全能力要求表安全能力要求2-1□一般□增强.信息系统安全负责人3云服务商应在下表中提供信息系统的安全负责人基本信息表信息系统安全负责人

3.1姓名部门及职务地址电话号码电子邮件服务模式

4.云服务商应在下表中选择其提供的服务模式表服务模式4-1服务模式软件即服务主要应用SaaS□平台即服务PaaS主要应用□基础设施即服务底层支撑平台□laaS其他□.信息系统描述5云服务商应在下表中简要描述系统的功能和目的表系统的功能和目的5-1系统的功能和目的系统组件和边界

5.2云服务商应在下表中详细、准确描述信息系统的主要组件、连接及系统边界表系统组件和边界5-2系统组件和边界使用者类型

5.3云服务商应在下表中对系统中拟涉及的使用者类型进行描述其中，云服务商的员工或者合同商将被视为内部用户，所有其他用户被视为外部用户使用者类型主要指与云计算平台信息系统进行直接通信、访问云计算平台上的信息或数据的用户，以及系统管理员、网络管理员等表使用者类型和特权5-3用户角色内部或外部已授权的特权和执行的主要职能网络架构

5.4云服务商应在此处提供一张或多张网络拓扑图，并在拓扑图中清晰描述下列内容主机名、服务器、鉴别DNS和访问控制服务器、目录服务器、防火墙、路由器、交换机、数据库服务器、主要应用、互联网接入服务提供商、等若有多图，标为图、图VLAN5-1a5-1b...图网络拓扑图5-1与其他云服务的关系

5.5若依赖于其他云服务，云服务商应在下表中进行说明表所依赖的其他云服务5-4系统名称云服务商名称是否通过审查（含审查日期）用途.信息系统环境6硬件清单

6.1云服务商应在下表中列出主要的硬件设备，包括服务器、存储设备等表硬件清单6-1主机名制造商型号使用地点软件清单

6.2云服务商应在下表中列出主要的软件，可包括任何中间件、数据库、安全文件传输应用等表软件清单6-2主机名软件名功能版本是否虚拟网络设备清单

6.3云服务商应在下表中列出主要的网络设备表网络设备清单6-3主机名制造商型号地址功能IP数据流

6.4云服务商应在此处提供一张或多张图，描述进出系统边界（包括内部边界）的数据流图数据流6-1端口、协议、服务

6.5云服务商应在下表中对系统中开启或使用的端口、协议和服务进行描述表端口、协议和服务6-4端口协议服务目的被何组件使用.信息系统连接7云服务商应在下表中对本系统与其他系统的连接进行描述网络连接的安全措施可包括IPSec、等VPN SSL表系统连接7-1外部组织名称及外部系统联系网络连接的安全数据流向传输的信及接口端口或线路IP系统IP地址人措施（流入、流出、双向）息安全要求的实现情况

8.标准中提出的安全要求

8.1云服务商应在表中逐项列出《云计算服务安全能力要求》（以下简称《能力要求》）的各项要求，8-1并描述其实现这些要求的具体情况表格中，一般要求和增强要求以不同的表格背景颜色和字体进行区分如某项安全要求没有一般要求或增强要求，则不在表格中出现表安全要求实现情况（示例）8-1安全要求实现情况及理由安全措施的作用范围安全要求部分满计戈满采取的安全措施U满足不满足通用专门混合足足替代满足

7.

4.1a

7.

4.1b

7.

4.1c拟提供的证据a）b）c）对客户相关安全责任和安全措施的建议

7.

4.2a

7.

4.2b

7.

4.2c拟提供的证据）a）b）c对客户相关安全责任和安全措施的建议新增安全措施

8.2如在本标准的安全要求之外，云服务商提供了新增的安全措施，应在下表中进行详细描述表云服务商新增安全措施序号8-2新增安全措施的目标新增安全措施的具体描述:与《能力要求》中有关条款的关系:参考文献

[1]FedRAMP SecurityControls BaselineVersion

1.1

[2]The CloudSecurity AllianceCloud ControlsMatrix CCMV

1.4

[3]CSA CloudSecurity AllianceGuidelines onSecurity andPrivacy inPublic CloudComputing V

3.0一

[4]ISO/IEC27017Information technology-Security techniques-Security incloud computingDraft|5]NIST SP800-53:Security andPrivacy Controlsfor FederalInformation Systemsand OrganizationsV

4.0

[6]NIST SP800-144:Guidelines onSecurity andPrivacy inPublic CloudComputing物理设施与设备选址

1.1243物理和环境规划

14.344物理环境访问授权

4414.4物理环境访问控制

14.544通信能力防护

14.644输出

14.

14.845访客访问记录

14.945电

14.

14.

14.

14.

14.1546参考文献53本标准依据给出的规则起草GB/T

1.1-2009本标准由全国信息安全标准化技术委员会提出并归口SAC/TC260本标准的附录是规范性附录A本标准起草单位中国电子信息产业集团有限公司中电信息技术研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所、中国电子信息产业发展研究院、工业和信息化部电子科学技术情报研究所、中电长城网际系统应用有限公司本标准主要起草人左晓栋、陈兴蜀、张建军、王惠莅、周亚超、冯伟、伍扬、王强、闵京华、鸵敏华、杨建军、罗锋盈、尹丽波、孙迎新、杨晨、王石、崔占华、贾浩淼云计算服务是利用云计算技术、按照云计算服务模式提供的信息技术服务积极推进云计算在政府部门和重要行业的应用，获取和采用以社会化方式提供的云计算服务,有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率云计算的应用也带来了新的信息安全问题和风险如，在云计算环境下，用户对数据、系统的控制管理能力明显减弱；客户与云服务商之间的责任难以界定；数据保护更加困难；容易产生对云服务商的过度依赖等为有效应对云计算应用带来的信息安全问题和风险，需要制定相关安全政策和技术标准,加强云计算服务安全管理，保障云计算服务信息安全本标准与《信息安全技术云计算服务安全指南》构成了云计算服务安全管理的基础标准《云计算服务安全指南》面向政府和重要行业领域，提出了使用云计算服务时的信息安全管理要求；本标准面向云服务商，提出了云服务商应该具备的信息安全能力要求本标准对云服务商提出了一般要求和增强要求根据拟迁移到社会化云计算平台上的信息的敏感度和业务的重要性的不同，云服务商应具备的安全能力也各不相同本标准依据给出的规则起草GB/T

1.1-2009本标准由全国信息安全标准化技术委员会提出并归口SAC/TC260本标准的附录是规范性附录A本标准起草单位中国电子信息产业集团有限公司中电信息技术研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所、中国电子信息产业发展研究院、工业和信息化部电子科学技术情报研究所、中电长城网际系统应用有限公司本标准主要起草人左晓栋、陈兴蜀、张建军、王惠莅、周亚超、冯伟、伍扬、王强、闵京华、鸵敏华、杨建军、罗锋盈、尹丽波、孙迎新、杨晨、王石、崔占华、贾浩淼云计算服务是利用云计算技术、按照云计算服务模式提供的信息技术服务积极推进云计算在政府部门和重要行业的应用，获取和采用以社会化方式提供的云计算服务,有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率云计算的应用也带来了新的信息安全问题和风险如，在云计算环境下，用户对数据、系统的控制管理能力明显减弱；客户与云服务商之间的责任难以界定；数据保护更加困难；容易产生对云服务商的过度依赖等为有效应对云计算应用带来的信息安全问题和风险，需要制定相关安全政策和技术标准,加强云计算服务安全管理，保障云计算服务信息安全本标准与《信息安全技术云计算服务安全指南》构成了云计算服务安全管理的基础标准《云计算服务安全指南》面向政府和重要行业领域，提出了使用云计算服务时的信息安全管理要求；本标准面向云服务商，提出了云服务商应该具备的信息安全能力要求本标准对云服务商提出了一般要求和增强要求根据拟迁移到社会化云计算平台上的信息的敏感度和业务的重要性的不同，云服务商应具备的安全能力也各不相同信息安全技术云计算服务安全能力要求范围1本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求本标准适用于对政府部门和重要行业使用的云计算服务进行安全审查，也适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务规范性引用文件2下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅所注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本包括所有的修改单适用于本文件信息安全技术云计算服务安全指南GB/T XXXXX-XXXX信息安全技术信息系统安全等级保护基本要求GB/T22239-2008电子信息系统机房设计规范GB50174-2008计算机场地安全要求GB/T9361-2011术语和定义3确立的以及下列术语和定义适用于本标准GB/T25069-2010GB/T XXXXX-XXXX云计算cloud computing一种通过网络提供计算资源服务的模式，在该模式下，客户按需动态自助供给、管理由云服务商提供的计算资源注计算资源包括服务器、操作系统、网络、软件和存储设备等云月艮务商cloud serviceprovider为客户提供云计算服务的参与方云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络将云计算的资源交付给客户客户cloud consumer为使用云计算服务和云服务商建立商业关系的参与方云计算月艮务cloud computingservices由云服务商使用云计算提供的服务第三方评估机构Third PartyAssessment Organizations3PAO独立于云服务商和客户的专业评估机构

3.6云基础设施cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层硬件资源层包括所有的物理计算资源，主要包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链接和接口等）及其他物理计算基础元素资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问云计算平台cloud computingplatform由云服务商提供的云基础设施及其上的服务层软件的集合云计算环境cloud computingenvironment由云服务商提供的云计算平台，及客户在云计算平台之上部署的软件及相关组件的集合概述4云计算的安全责任

4.1云计算服务的安全性由云服务商和客户共同保障在某些情况下，云服务商还要依靠其他组织提供计算资源和服务，其他组织也应承担信息安全责任因此，云计算安全措施的实施主体有多个，各类主体的安全责任因不同的云计算服务模式而异范围和控制应用软件软件平台资源抽象控制层硬件虚拟化计算资源图云计算服务模式与控制范围的关系4-1软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（laaS）是3种基本的云计算服务模式如图4・所示，在不同的服务模式中，云服务商和客户对计算资源拥有不同的控制范围，控制范围则决定了安全责1任的边界云计算的设施层（物理环境）、硬件层（物理设备）、资源抽象和控制层都处于云服务商的完全控制下，所有安全责任由云服务商承担应用软件层、软件平台层、虚拟化计算资源层的安全责任责则由双方共同承担，越靠近底层（即）的云计算服务，客户的管理和安全责任越大；反之，云服务商的管理和laaS安全责任越大——在中，客户仅需要承担自身数据安全、客户端安全等的相关责任；云服务商承担其他安全责SaaS任——在中，软件平台层的安全责任由客户和云服务商分担客户负责自己实现和部署的应用及其PaaS运行环境的安全，其他安全由云服务商负责中，云服务商需要承担设施层、硬件层、资源抽象和控制层等的相关责任，客户则需要承担——laaS操作系统部署及管理，以及、中客户应承担的相关责任PaaS SaaS考虑到云服务商可能还需要其他组织提供的服务，如或服务提供商可能依赖于服务提供SaaS PaaSlaaS商的基础资源服务在这种情况下，一些安全措施由其他组织提供因此，云计算安全措施的实施责任有类，如表所示44-1表云计算安全措施的实施责任4-1责任示例云服务商承担在SaaS模式中，云服务商对平台上安装的软件进行安全升级客户承担在laaS模式中，客户对其安装的应用中的用户行为进行审计云服务商和客户共同云服务商的应急演练计划需要与客户的信息安全应急演练计划相协调°在实施应急演练时，需要客户承担与女服务商相互配合其他组织承担有的SaaS服务提供商需要利用laaS服务提供商的基础设施服务，相应的物理与环境保护措施应由lasS服务提供商予以实施本标准不对客户承担的安全责任提出要求客户应参照《信息安全技术云计算服务安全GBXXXXX-XXXX指南》及其他国家、行业有关信息安全的标准规范落实其安全责任如云服务商依赖于其他组织提供的服务或产品，则其所承担的信息安全责任直接或间接地转移至其他组织，云服务商应以合同或其他方式对相应安全责任进行规定并予以落实但是，云服务商仍是信息安全监管的直接对象云计算安全措施的作用范围

4.2在同一个云计算平台上，可能有多个应用系统，某些信息安全措施应作用于整个云计算平台，平台上每个具体的应用系统直接继承该安全措施即可例如，云服务商实施的人员安全措施即适用于云计算平台上每一个应用系统这类安全措施称为通用安全措施某些安全措施则仅是针对特定的应用，例如云计算平台上电子邮件系统的访问控制措施与字处理系统的访问控制措施可能不同这类安全措施称为专用安全措施在特殊情况下，某些安全措施的一部分属于通用安全措施，另一部分则属于专用安全措施，例如云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源（如应急支援队伍），也要针对电子邮件系统的备份与恢复作出专门考虑，这类安全措施称为混合安全措施云服务商申请为客户提供云计算服务时，所申请的每一类云计算应用均应实现本标准规定的安全要求，并以通用安全措施、专用安全措施或混合安全措施的形式,标明所采取的每项安全措施的作用范围安全要求的分类

4.3本标准对云服务商提出了基本安全能力要求，反映了云服务商在保障云计算平台上客户信息和业务信息安全时应具有的基本能力这些安全要求分为类，每一类安全要求包含若干项具体要求10类安全要求分别是10——系统开发与供应链安全云服务商应在开发云计算平台时对其提供充分保护，为其配置足够的资源，并充分考虑信息安全需求云服务商应确保其下级供应商采取了必要的安全措施云服务商还应为客户提供与安全措施有关的文档和信息，配合客户完成对信息系统和业务的管理——系统与通信保护云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网。