《信息安全技术云计算服务安全能力评估方法》

来源：爱go旅游网

精心整理

意见汇总处理表

标准项目名称：《信息安全技术云计算服务安全能力评估方法》承办人：王惠莅共23页标准项目负责起草单位：中国电子技术标准化研究院电话：12016年6月13日填写标准章条编意见内容号提出单处理意见位备案，2015年5月20日发编制组内部征求意见依据当前评估条目的适用性，提取共性CETC30项，对仅适用于特殊场景下的评估点标所注其使用建议，或单独章节形成特定测评点要求。当前稿中涉及的角色称谓名称较多，各称谓代表的对象范畴没有明示，容易混淆，比如用户、客户、租户之间的差异。 CETC30 修改建议：对用户、租户、客户、外部人员、特权用户、特权账户等各称谓明确含义范畴，规范其使用。建议将“对以社会化方式”去掉 1 阿里云未采纳。与《能力要求》保计算有持一致。限公司综合考虑原则不是原则，可重复和可充中国信4.1 用、可再现比较理想，比较难实现。息安全测评中精心整理

部分采纳。所相关规定。未采纳。按照《能力要求》未采纳。对服务类型进行区分超出本标准的范围。精心整理标准章条编意见内容号心建议改为“采用或参考其已有的公正第阿里云4.1 三方的测评结果”。计算有限公司建议改为“灵活是指在对云服务商进行阿里云未采纳。应是由云服务商裁4.1 安全控制措施裁剪、替换等情况下，” 计算有剪、替换安全控制措施等。限公司增加相应章节，成都大4.2 1、描述安全评估系统要求，学安全配件要求。国家信息技术建议修改格式，“涉及”格式为斜体安全研究中心 5.3.1a) 修改建议：检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征；西安未来国际有限公司 5.4.2f) 修改建议：检查开发商提供的说明文档是否有对精心整理

西安未采纳。来国际未采纳。系统生命周期定义可参考已有国标。采纳。方法，不涉及评估系统。未采纳。本标准只规范评估部分采纳。位提出单处理意见备精心整理标准章条编意见内容号功能、端口、协议和服务的详细说明，并列出不必要和高风险的功能、端口、协议或服务，并查看是否已禁用。修改建议：国家信未采纳。《能力要求》不涉及自动化机制位有限公司提出单处理意见备测试应用信息系统设计、开发、实现和息技术修改过程中的机制，是否实现自动化机安全研制。 5.9.2b) 将“得”改为“的” 究中心国家信息技术采纳。安全研究中心 5.10.2c) 5.10.2f) 修改建议：增加句号。国家信息技术采纳。安全研究中心 5.11.1a)评估方法修改建议：国家信未采纳。实现、运行过程中的配置管理方式，是安全研否实现自动化管理。 5.12.2a) 修改建议：究中心西安未部分采纳。测试系统、组件或服务的在设计、开发、息技术精心整理

精心整理标准章条编意见内容号检查开发阶段所使用的静态代码分析工具配置；位来国际有限公司 5.12.2e) 修改建议：西安未未采纳。只看报告就能体现。提出单处理意见备检查开发商的渗透性测试相关文档（测来国际试计划、测试报告）有限公司 6.2.1b)评估是否对外公开的组件与内部网络划分方法为不同的子网络，阿里云计算有限公司 6.2.2a)评估搭建物理独立的计算资源池、存储资源阿里云采纳。未采纳。同《能力要求》描述方式。方法池和网络资源池计算有限公司 6.2.2b) ——测试是否具有对大规模攻击流量进行清洗或防护的能力。阿里云未采纳。原评估方法中已经计算有包含此内容。限公司检查外部通信接口授权审批策略； 6.2.2d) 西安未来国际采纳。有限公司精心整理

精心整理标准章条编意见内容号位 ——检查安全计划书、安全设计文档，CETC30是否使用符合国家密码管理法律法规的通信加密和签名验签算法及设施，是否有国家密码管理局认定测评机构出采纳。具的检测报告或证书。 ——测试云服务商所使用到的通信加密和签名验签设施是否与设计文档要求相一致；建议收敛测试方法，因密码设备测试认CETC30可有一套严格管理规定，建议以审查相所关权威机构发放的认可证书为准。（具体需要进一步落实国家密码管理局、涉密信息系统相关管理规定）。修改建议： --测试云计算平台用户和系统安全功能之间是否建立了一条可信的通信路径。 6.8.2b) 修改建议：验证禁止自动执行机制是否有效；西安未来国际有限公精心整理

采纳。云服务的云服务管理平台难于验证。 CETC30所采纳。采纳。所提出单处理意见备精心整理标准章条编意见内容号司修改建议：对6.11.1c)的评估方法增加 --在网络出入口以及系统中的主机、移动计算设备上放置一段恶意代码，测试防护措施是否能够检测并予以响应。 6.11.2b) 修改建议：西安未采纳。信息、更新时间等；有限公司 6.12.2．2 修改建议： --测试非授权代码是否能够执行；修改建议：对6.13.1b)的评估方法第三条文字修改为：采纳。 ——测试当虚拟机镜像文件被恶意篡改时，是否有完整性校验机制能够防止对镜像文件的恶意篡改。 6.13.1b) 对6.13.1b)的评估方法第四条修改建议：精心整理

CETC30采纳。所/张玲 CETC30所 CETC30所/张玲采纳。 CETC30所未采纳。原评估方法已包括该内容。位提出单处理意见备检查恶意代码自动更新记录，包含版本来国际精心整理标准章条编意见内容号对6.13.1b)的评估方法第四条文字修改： ——测试已经被一台虚拟机挂载的逻辑卷是否能够被其它虚拟机挂载。 6.13.1c) 对6.13.1c)的评估方法第四条文字修改为： ——检查安全计划书、信息系统架构设采纳。计文档、或其他相关文档是否提供虚拟机只能访问分配给该虚拟机的物理磁盘的技术机制； 6.13.1c) 修改建议： CETC30采纳。所 6.13.1d) 修改建议：对6.13.1d)的评估方法为第二条建议删除。 6.13.2d) 对6.13.2d)的评估方法第三条：修改建议：对6.13.2d)的评估方法第三条：修改为 ——在物理机操作系统上读取虚拟机镜像文件，查看是否进行加密保护；精心整理

CETC30所部分采纳。 CETC30所采纳。 CETC30所位提出单处理意见备精心整理标准章条编意见内容号 6.13.2d) 修改建议： 6.13.2d)的评估方法第四条删除。 6.14.1a) 修改建议：位 CETC30采纳。所 CETC30 提出单处理意见备对6.14.1a)的第二条评估方法修改为：所 ——检查虚拟网络资源实际配置是否与文档中规定的网络隔离和访问采纳。控制策略相符； ——对虚拟网络资源进行数据访问或网络扫描，测试网络隔离和访问控制措施是否生效。 6.14.1b) 修改建议：第二条与第三条建议合并，并修改文字。对6.14.1b)的评估方法修改为： ——检查安全计划书、信息系统架采纳。构设计文档、或其他相关文档是否为访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施； ——检查实际的网络资源配置是否与文档所规定的网络隔离和访问控CETC30所精心整理

精心整理标准章条编意见内容号制策略相符。 ——在访问云服务的网络和内部管理云的网络之间尝试进行数据交互或是网络扫描，检测网络间的隔离和访问控制措施是否生效。 6.15.1c) 第三条和第四条为第二条的测试用例CETC30 位提出单处理意见备和场景，放在这里过细。建议删除，并所对第二条进行文字修改。修改建议：对6.15.1c)的评估方法为： ——检查安全计划书、信息系统架采纳。构设计文档、或其他相关文档，是否对不同客户所使用的虚拟存储资源之间有逻辑隔离的机制。 ——测试客户是否无法发现并访问其他客户所使用的存储资源，客户间的存储资源访问性能是否相互影响。 6.15.1d) 对6.15.1d)的评估方法的第三条和第四条内容重复。建议合并修改建议： CETC30所采纳。精心整理

精心整理标准章条编意见内容号对6.15.1d)的评估方法第三条和第四条修改为： ——在租户解除存储资源的使用后，例如释放存储空间、虚拟机迁移或删除等，检测原物理存储资源上的数据（如镜像文件、快照文件、备份文件等数）是否被清除。 6.15.1e) 修改建议： CETC30 位提出单处理意见备对6.15.1e)的评估方法第二条修改为：所 ——模拟虚拟存储数据的常规操作和异常操作，检测是否有审计记录，审计记录信息要素是否完备，审计记录是否不能被修改和删除。 6.15.2a) 修改建议： CETC30 未采纳。标准是宏观共性的评估方法，不涉及具体用例。对6.15.2a)的评估方法第二条修改为：所 ——检查存储协议级数据访问授权策略配置信息是否与文档规定的授权机制相符； ——以非授权用户或方式进行存储协议级数据访问，测试是否成功。采纳。精心整理

精心整理标准章条编意见内容号 6.15.2b) 修改建议：对6.15.2b)的评估方法修改为 ——检查安全计划书、信息系统架构设CETC30计文档、或其他相关文档，检查或分析所是否提供了一定机制以便客户部署满足国家密码管理规定的数据加密方案用以保护客户的私有数据。修改建议： ——在[赋值：云服务商定义的时间段]用户处于不活动状态，测试该用户是否被禁止使用。修改建议： ——检查访问脚本是否包含未加密的静态鉴别凭证。修改建议： CETC30采纳。 CETC30所采纳。 CETC30所采纳。采纳。位提出单处理意见备——查看接收记录，当接收凭证时是否所经过本人或可信第三方确认。 7.8.1a) 检查账号管理员角色是否与自然人绑定、责任明确；西安未来国际有限公精心整理

未采纳。评估方法按照《能力要求》的评估内容来定。精心整理标准章条编意见内容号司修改建议： ——检查远程访问会话是否采取相关密码机制保证远程会话的机密性采纳。和完整性。 ——利用网络抓包等技术手段测试会话数据是否进行了加密保护。 7.21.1a) 检查是否列出了何种情况可以授权外部访问云平台；西安未来国际采纳。有限公司检查是否列出了何种情况可以授权外部访问对云计算平台上的信息进行处理、存储或存储；西安未来国际采纳。有限公司）检查配置管理计划的保护措施是否可以防止非授权的泄露和变更。西安未来国际采纳。有限公司 8.4.2.b 检查云计算平台相关设备系统的日志、西安未未采纳。原评估方法已经包含了此内容。 CETC30所位提出单处理意见备精心整理

精心整理标准章条编意见内容号位配置记录等信息，证明对云计算平台上来国际的变更实施物理和逻辑访问控制；有限公司 8.5.2.a 设置测试用例测试自动机制可以有效西安未未采纳。原评估方法已经包含了此内容。提出单处理意见备地对配置参数进行集中管理、应用和验来国际证的功能。有限公司 8.6.1.a 将云计算平台必需功能对应的验收报西安未未采纳。云计算平台配置非常繁杂，一一验证难以实现。告、功能白皮书等说明文档与云平台现来国际有配置进行比对，证明对云计算平台按有限公照仅提供必需功能进行配置。检查是否有强制手段确保在远程维护完成后是否终止会话和网络连接。司西安未来国际有限公司检查是否建立备品备件列表并对备件进行抽样检测确保其可用性。西安未来国际未采纳。不强调使用强制手段。部分采纳。有限公司检查应急响应计划文档，查看其是否包西安未精心整理

未采纳。原评估方法已体现。精心整理标准章条编意见内容号位含了容量规划的内容；检查容量规划文来国际档是否明确了必要的信息处理容量、通有限公信容量和环境支持能力。司提出单处理意见备检查异地系统级热备设计文档、管理平西安未台，对热备设施进行测试验证是否按照来国际云服务商定义的频率对系统级信息进有限公部分采纳。行增量备份，是否按照云服务商定义的司频率对系统级信息进行全量备份。 ) ——检查实际的脆弱性扫描工具，查看西安未其是否开启了自动升级功能，当前使用来国际部分采纳。漏洞库的发布时间、版本。有限公司 ) ——检查风险评估和持续监控策略，是西安未否明确定义了脆弱性扫描额广度和深度；来国际有限公未采纳。评估方法按照《能力要求》的评估内容来定。 ——检查脆弱性扫描工具扫描策略，所司定义的扫描广度和深度是否满足系统风险评估安全策略要求。 ——检查脆弱性扫描历史结果，核查扫描使用的策略是否满足系统风险评估精心整理

精心整理标准章条编意见内容号安全策略要求。 ) ——检查管理垃圾信息机制是否有集中管控的手段。 ——检查管理垃圾信息机制集中管控的手段是否有效。 ) ——检查管理垃圾信息机制是否有自动升级功能。 ——检查管理垃圾信息机制历史升级记录。西安未来国际采纳。有限公司西安未来国际采纳。有限公司位提出单处理意见备案，2015年6月11日，信安标委秘书处中期检查建议评估方法能够细化，能够支撑GB/T31168落地。顾建国张建军左晓栋建议围绕落实GB/T31168附件中系统安全计划模版编制。应增强访谈方法的应用。术语应统一。杜虹杜虹采纳。卿斯汉在具体标准项评估方法中，应将访谈、左晓栋采纳。检查、测试分开。精心整理

采纳。张建军采纳。采纳。精心整理标准章条编意见内容号能否将Iaas、PaaS、SaaS进行分类。位左晓栋未采纳。不是本标准的范围。建议将标准英文名称assessment改为evaluation。引言建议引言的第一段删掉。建议增加整体框图规范性引用文件添加GB/T25069 冯惠卿斯汉崔书昆未采纳。参照GB/T25069的术语。采纳。提出单处理意见备未采纳。评估阶段的划分比较简单，描述即较容易理解。采纳。采纳。 2 4.2 冯惠明确评估依据，评估内容等，应与第五冯惠章有对应案，2015年7月30日，信安标委秘书处专家评审这个标准本身是标准符合性测试，是过李京春程导向的。但是审查是结果导向的，如果按照这个审，不容易审出来。标准中有的有一般要求，有的没有一般李京春要求，有的有增强，有的没有增强，这样很乱。例如：防篡改，没有一般要求，可评估时没有一般项要求不合适。因此，一般要求即使原标准中没有要求，评估中也应该有。增强的可以没有。精心整理

未采纳。本标准是《能力要求》的配套标准，一般要求和增强要求与原标准保持一致。部分采纳。标准给出针对《能力要求》的对应评估方法，审查时可参考，并按照相关规定审查。精心整理标准章条编意见内容号在法律上有的，在标准中应该体现。后续持续监督的内容是否要在本标准中体现；如何判断，如何给出判据，如何打分，杜虹是个很重要的问题；而且评估是提高云部分采纳。服务商的安全能力，应该让云服务商来了解怎么做是符合要求的。评估方法应跟能力要求协调一致，如果崔书昆原标准有错误，这个改正，但要声明。这个标准可以用于审查，但目前这个标崔书昆准不能和审查紧相关。现在很多地方政府都在做云，应该让他崔书昆们知道这个事，去试用这个标准。全篇的括号格式未统一，31168用左晓栋的是中文括号，本标准新增内容用的是英文括号标题 1 建议考虑assessment和evaluation。崔书昆采纳。采纳，修改“范围”。采纳。采纳。采纳。采纳。位李京春李京春采纳。采纳。提出单处理意见备特定用户、社会化，要么增加术语定义，肖京华要么不用。崔书昆陈兴蜀精心整理

精心整理标准章条编意见内容号位闵京华 4.1 可重用是指在适用的情况下，对云计算左晓栋平台中采购的商业现货产品采用或参考其已有的测评结果。语法不太妥。此外，不仅仅是可重用对现货产品的测评结果，对于同一服务商的平台，还有很多测评结果可以重用，例如服务商自身的信息安全体系等。 4.1 保密原则是指测评人员应对涉及云服务商利益的商业信息严格保密。还有很采纳。多信息也要保密。例如云平台上已有的信息，例如第三方的信息。 4 增加描述，将是按照一般要求还是按照杜虹增强要求等来进行安全评估与前面的《能力要求》、《指南》等联系起来。 4 关于一般和增强，如果能力要求中有，崔书昆可拿过来。评估的内容，根据不同的对象，分为两级，一般和增强，在评估方法中，应该有句话来说明，评估为一般能力和增强能力。精心整理

采纳。采纳。左晓栋采纳。提出单处理意见备精心整理标准章条编意见内容号 4 位在具体应用三种评估方法中，应组合应杜虹采纳。用，可增加这么一句话。 4 评估实施过程最好画张图。卿斯汉采纳。崔书昆第5章到第标题同《能力要求》相似，建议增加“评左晓栋采纳。 14章估方法” ——检查规划文档、设计文档、实施文左晓栋档、运维文档等相关文档，查看其是否采纳。有信息安全风险管理内容；增加“查看其是否包含风险评估报告”。建议进一步查看云服务商是否有技术措施限制协同设备插入要有测试，针对这项要求还应制定一批左晓栋测试用例。）要有测试左晓栋采纳。采纳。论。也可以原则些。但如能更加明确，则更好。精心整理

应该先检查云服务商是怎么定义左晓栋采纳。采纳。左晓栋采纳。提出单处理意见备虚拟化的测试是个难点。标准中写左晓栋到什么程度？不好把握，建议大家讨精心整理标准章条编意见内容号用户的。定义了哪些用户？什么角色？如何管理？对云平台而言，“用户”和“管理员”复杂化了。例如，云平台运营者本身有“用户”和“管理员”的概念，而客户在使用云时，也有“用户”和“管理员”的概念。CSP应该把这些说清楚。 7 本章中的很多要求，要借助“测试”左晓栋来验证，建议梳理本章（及其他可能的章节）中的“检查”用语。该改为“测试”的就测试，该增加“测试”的要增加评估方法。现在这个标准应与能力要求紧相关，增崔书昆加参考文献。采纳。采纳。位提出单处理意见备案，2015年8月至2015年9月，标准试用及审查办意见引言第二段标准用途表述不充分，建议调整结构。国家信息技术采纳。安全研究中心全文参考《能力要求》和《指南》，统一本中国信精心整理

采纳。精心整理标准章条编意见内容号标准中人员名称和文档名称位息安全测评中心中国电子技术标准化研究院 3.2 定义中只出现了云计算服务，并未定义审查办云服务，但是正文中多次提到云服务。建议定义云服务，可明确指出云计算服务可简称云服务，或将正文中的云服务统一改为云计算服务 3 定义和《能力要求》标准一样，未针对审查办本标准相关参与方和活动进行定义，如在4.1、4.2出现评估工作和评估人员等内容，在3中无定义。建议在3术语和定义中增加评估相关人员或活动的定义。 4 对现场评估的描述中缺少测试的相关内容。建议增加测试相应内容。精心整理

审查办采纳。采纳。采纳。提出单处理意见备精心整理标准章条编意见内容号 4.1 灵活原则描述缺少主语，建议增加主语。位国家信息技术采纳。安全研究中心 4.1 “最大程度减少对云服务商的风险”，国家信减少描述不妥当，建议改为降低。息技术采纳。安全研究中心 4.5 标准存在第三方机构、第三方评估机构国家信说法，不够统一。息技术安全研究中心 4.5 评估实施过程描述过于简单，无法较好中国电的指导实施。在评估过程中，沟通需提子技术采纳。供的证据很重要。细化评估实施过程，标准化增加沟通需提供证据的内容。研究院采纳。法不统一，很多这样的情况。安全研究中心精心整理

采纳。提出单处理意见备系统开发与供应链安全策略和规程、系国家信统开发与供应链安全策略与规程等说息技术精心整理标准章条编意见内容号位对b）的评估方法两个“工作计划和预国家信算文件中”，存在重复。息技术采纳。安全研究中心 a的评估方法存在标点符号错误“。”，国家信建议修改为分号。息技术安全研究中心 b的评估方法里面存在标点符号错误，国家信建议修改为分号。息技术采纳。安全研究中心对b）d）的评估方法存在标点符号“。”国家信错误，建议修改为分号。息技术采纳。安全研究中心对j）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术采纳。安全研究中心精心整理

采纳。提出单处理意见备精心整理标准章条编意见内容号位 d）e)的评估方法存在标点符号“。”错国家信误，建议修改为分号。息技术安全研究中心 c）的评估方法为：（1）检查系统开发与供应链安全策略国家信息技术采纳。提出单处理意见备与规程等相关文档，查看其是否定义了安全研在云服务商定义的频率或云服务商定义的情况下，需检测是否受到篡改的信息系统、组件或设备；语句不通顺，后面多一个“是否” （2）检查检测篡改的记录，查看云服务商是对所定义的信息系统、组件或设备按照要求实施了篡改检测。语句不通顺，缺少一个否。 e）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术采纳。安全研究中心 5.15.2.2b）精心整理

——检查报告赝品组件的记录等中国电采纳。采纳。究中心精心整理标准章条编意见内容号位相关文档，查看其是否按照要求报告；子技术——访谈所定义的人员和角色等标准化提出单处理意见备相关人员，询问其赝品组件报告情况。研究院应先访谈是否有赝品组件，然后再检查。 c）的评估方法中，访谈无法实现“查看国家信其”内容。息技术安全研究中心 d）的评估方法存在标点符号“；”错误，建议修改为句号。国家信息技术采纳。安全研究中心 f）的评估方法,访谈中多一个保护。国家信息技术采纳。安全研究中心 g）的访谈内容语句不通顺，“询问其确认所收到的信息系统或组件真实且未被改动的保护措施实施情况”。精心整理

国家信息技术安全研采纳。采纳。精心整理标准章条编意见内容号位究中心 g）缺乏对保护措施的检查。提出单处理意见备中国电采纳。建议：——检查所定义的对所收到子技术的信息系统或组件真实且未被改动的标准化保护措施的确认记录等相关文档，查看研究院云服务商是否按规定实施了保护措施；对h）的评估方法存在标点符号“。”国家信错误，建议修改为分号。息技术采纳。安全研究中心 m）有可能云服务商还没有变更过供应中国电采纳。商，因此，应该先访谈，如果的确有变子技术更，再检查变更的风险控制措施实施情标准化况。 ——测试不同客户或同一用户不息技术6.2.2.2i) 同业务信息系统之间的隔离机制，验证安全研隔离机制是否有效。究中心 ——测试云计算平台中移动代码6.8.1.2 的限制机制，验证其是否能够对移动代息技术精心整理

国家信采纳。采纳。研究院国家信精心整理标准章条编意见内容号码的使用进行限制。位安全研提出单处理意见备只是写“限制”是否要求偏低，如究中心果有限制，但是限制不完善呢？可否改为“验证其是否能够对移动代码的使用进行合理限制。” ） “——检查云计算平台配置参数设置，中国电查看其是否禁止自动执行移动设备上子技术采纳。代码；”，该要求的评估方法中有测试，标准化建议直接采用测试证据，不需要检查配研究院置了。 ——检查虚拟机跨物理机迁移过6.13.2.2b) 虚拟机跨物理机迁移保护。 “可以”去掉对c）的评估方法为：安全研究中心国家信国家信采纳。程中的保护措施，查看其是否可以提供息技术 ——检查虚拟化策略、系统设计说息技术明书等相关文档，查看其是否有对虚拟安全研6.14.1.2c）机的网络接口带宽进行管理的要求； ——检查虚拟机的网络接口带宽管理配置，查看其是否符合带宽管理的精心整理

究中心部分采纳。精心整理标准章条编意见内容号要求。第一句：是否应该改为查看对网络带宽进行管理的技术机制。第二句：是否应该改为，测试带宽管理的技术机制是否有效？对a）的评估方法为：增加如下内容：国家信——检查配置管理计划，查看其是否按息技术采纳。照要求制定并实施了配置管理计划。安全研究中心对a）的评估方法改为：国家信位提出单处理意见备“——检查配置管理策略与规程、息技术配置管理计划等相关文档，查看其是否安全研明确了在系统受控配置列表中应包含的云计算平台的变更配置项；” 对d）的评估方法为： “——测试禁止非授权软件运行国家信息技术采纳。究中心采纳。的机制，查看是否其禁止了非授权软件安全研的运行。” 不通顺，次序需要调整。究中心精心整理

“——检查及时维护策略及相关国家信采纳。精心整理标准章条编意见内容号位保障措施，查看列表中的备品备件是否息技术能在系统组件发生故障的时间段内投入运性；” 错别字“运性”。对d）的评估方法改为：国家信安全研究中心提出单处理意见备“——检查应急响应计划，查看其息技术是否有在系统发生变更或事件响应计安全研采纳。划在实施、执行或测试中遇到问题时，究中心及时修改应急响应计划的要求，查看其是否定义了修改应急响应计划后应通报的人员、角色或部门；” 原文\"询问所所定义机制的落实情况\"修中国信改为“询问所定义机制的落实情况” 息安全采纳。测评中心标准草案，2015年11月24日，信安标委秘书处专家评审，形成征求意见稿标准是对云服务商的能力进行评估，还卿斯汉是对云服务或者云计算平台进行评估。闵京华建议明确标准的定位。已发布的国家标准中，如果已有相关测顾建国精心整理

采纳。标准定位为对云服务商在提供云计算服务时所具备的安全能力进行评估。采纳。精心整理标准章条编意见内容号试用例的，可在本标准中注明。如果本标准中只是少量引用了别的标准内容，可以直接在本标准中写，如果本标准中大量引用了别的标准内容，可以在引用处给出原标准的章节号，不直接写内容。引言 “政府部门应对拟迁移至云计算平台贾颖禾采纳。顾建国位提出单处理意见备的信息和业务进行分析，按照信息的敏宿忠民感程度和业务的重要程度选择相应安全能力水平的云服务商。GB/T31167－采纳。 2014《信息安全技术云计算服务安全指南》给出了信息、业务类型与安全保护要求之间的对应关系”的描述与本标准关系不大，建议删除。 4.4 6.13 顾建国建议增加对评估结果的定性的描述。对有些云服务商能力的评估只通过检查就可以了，不需要测试；对有些云服务商能力的评估还需要测试，虚拟化测试技术还不成熟。顾建国卿斯汉采纳。采纳。在4.1评估原则中的 “可重用”原则，对于已有的测试评估结果可在适用时予以采信。虚拟化测试技术尚不成熟，在本标准中先行提出该项标准条款需要测试，后续可通过制定相关标准、技术研究等方式进一步补充。精心整理

精心整理标准章条编意见内容号位标准征求意见稿，2016年6月，大数据安全特别工作组征求意见术语标准的术语应参照最近发表的国标GB/T32400-2015云计算词汇与概述 IBM 未采纳。该标准为基于GB/T31168-2014的评估标准，术语沿用GB/T31168-2014和GB/T31167-2014. 角色定义标准的角色定义应参照最近发表的国标GB/T32399-2015云计算参考架构 IBM 未采纳。该标准为基于GB/T31168-2014的评估标准，术语沿用GB/T31168-2014和GB/T31167-2014. 4.2评估内容第一段中“风险评估和持续监控”应国家信采纳。提出单处理意见备改为“风险评估与持续监控”，与能力息技术要求标准保持一致。安全研究中心 4.4 删除“在云服务商通过安全评估后，并中国信与客户签订合同提供服务时，第三方评息安全估机构也可按照相关规定、客户委托或测评中其它情况积极参与和配合运行监管工作，具体实施应参照GB/T31167—2014精心整理

心部分采纳。此部分的确属于云持续监督的工作，在评估内容、评估方法和评估流程上可能会不同。修改为具体实施应参照GB/T31167—精心整理标准章条编意见内容号中的相关要求。”理由：评估流程只包括四个阶段。这是行政要求，不应纳入技术标准范畴。并且这是云审持续监督工作，在评估内容、评估方法和评估流程上也会不同。 4.4 评估实施过程是否存在回滚或者返回修订的过程。陕西省信息化可根据具体情况来确定。工程研究院 “——检查禁用不必要或高风险国家信位 2014及运行监管相关规定。提出单处理意见备的功能、端口、协议或服务的操作记录，息技术查看其是否符合要求。” 安全研意为查看操作记录是否符合要求，究中心而标准原文应该是按照要求禁用不必要或高风险的功能、端口、协议或服务。，且此处应该有测试的过程。建议改为“——测试不必要的或高风险的功能、端口、协议或服务，验证其是否已被禁止使用。” 精心整理

国家信采纳。采纳。精心整理标准章条编意见内容号位息技术安全研究中心 “——检查系统开发与供应链安国家信提出单处理意见备全策略与规程等相关文档，查息技术看其是否定义了安全措施，以安全研防止所定义的外部服务提供商损害本组织的利益； ——检查下列安全措施的实施记录等相关文档，查看其是否符合要求： 1）对外部服务提供商进行人员背景审查，或要求外部服务提供商提供可信的人员背景审查结果。 2）检查外部服务提供商资本变更记录。 3）选择可信赖的外部服务提供商，如有过良好合作的提供商。 4）定期或不定期检查外部服务提供商的设施。” 采纳。究中心精心整理

精心整理标准章条编意见内容号安全措施应该是云服务商自己定义，不应该直接检查上述安全措施的实施记录，上述措施为推荐措施，建议改为： “——检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了安全措施，以防止所定义的外部服务提供商损害本组织的利益，安全措施可以是： 1）对外部服务提供商进行人员背景审查，或要求外部服务提供商提供可信的人员背景审查结果。 2）检查外部服务提供商资本变更记录。 3）选择可信赖的外部服务提供商，如有过良好合作的提供商。 4）定期或不定期检查外部服务提供商的设施。位提出单处理意见备精心整理

精心整理标准章条编意见内容号 ——检查云服务商定义的安全措施的实施记录等相关文档，查看其是否符合要求。” 安全研究中心增加内容“测试信息与安全属性之间的西安电未采纳。检查即可查看出关关联度量” 子科技联度。大学对c）的评估方法为： “——检查审计分析报告，查看其是否涵盖了以下内容： 1）提供的云计算性能指标是否达到服务水平协议（SLA）的要求； 2）云计算平台信息安全状态的整体描述； 3）审计中发现的异常情况以及处置情况； 4）云计算平台中涉及客户的敏感精心整理

安全研究中心国家信息技术采纳。国家信息技术采纳。位提出单处理意见备精心整理标准章条编意见内容号操作的情况及其统计分析。” 缺少第五条： 5）云计算平台远程访问的总体情况及其统计分析《信息安全技术云计算服务安全能力评估方法》标准编制组二〇一六年六月十三日位提出单处理意见备精心整理

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

《信息安全技术 云计算服务安全能力评估方法》

《信息安全技术云计算服务安全能力评估方法》