《信息安全技术 云计算服务安全能力评估方法》

意见汇总处理表项目名称：《信息安全技术云计算服务安全能力评估方法》承办人：王惠莅共23页标准项目负责起草单位：中国电子技术标准化研究院电话：12016年6月13日填写序号标准章条编号意见内容提出单位处理意见备注标准草案，2015年5月20日发编制组内部征求意见依据当前评估条目的适用性，提取共性项，对仅适用于特殊场景下的评估点标注其使用建议，或单独章节形成特定测评点要求。CETC30所未采纳。对服务类型进行区分超出本标准的范围。当前稿中涉及的角色称谓名称较多，各称谓代表的对象范畴没有明示，容易混淆，比如用户、客户、租户之间的差异。修改建议：对用户、租户、客户、外部人员、特权用户、特权账户等各称谓明确含义范畴，规范其使用。CETC30所未采纳。按照《能力要求》相关规定。1建议将“对以社会化方式”去掉阿里云计算有限公司未采纳。与《能力要求》保持一致。综合考虑原则不是原则，可重复和可充用、可再现比较理想，比较难实现。中国信息安全测评中心部分采纳。建议改为“采用或参考其已有的公正第三方的测评结果”。阿里云计算有限公司部分采纳。建议改为“灵活是指在对云服务商进行安全控制措施裁剪、替换等情况下，”阿里云计算有限公司未采纳。应是由云服务商裁剪、替换安全控制措施等。增加相应章节，描述安全评估系统要求，安全配件要求。成都大学未采纳。本标准只规范评估方法，不涉及评估系统。建议修改格式，“涉及”格式为斜体国家信息技术安全研究中心采纳。a)修改建议：检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征；西安未来国际有限公司未采纳。系统生命周期定义可参考已有国标。f)修改建议：检查开发商提供的说明文档是否有对功能、端口、和服务的详细说明，并列出不必要和高风险的功能、端口、协议或服务，并查看是否已禁用。西安未来国际有限公司采纳。修改建议：测试应用信息系统设计、开发、实现和修改过程中的机制，是否实现自动化机制。国家信息技术安全研究中心未采纳。《能力要求》不涉及自动化机制b)将“得”改为“的”国家信息技术安全研究中心采纳。c)f)修改建议：增加句号。国家信息技术安全研究中心采纳。a)评估方法修改建议：测试系统、组件或服务的在设计、开发、实现、运行过程中的配置管理方式，是否实现自动化管理。国家信息技术安全研究中心未采纳。a)修改建议：检查开发阶段所使用的静态代码分析工具配置；西安未来国际有限公司部分采纳。e)修改建议：检查开发商的渗透性测试相关文档（测试计划、测试报告）西安未来国际有限公司未采纳。只看报告就能体现。b)评估方法是否对外公开的组件与内部网络划分为不同的子网络，阿里云计算有限公司采纳。a)评估方法搭建物理独立的计算资源池、存储资源池和网络资源池阿里云计算有限公司未采纳。同《能力要求》描述方式。b)——测试是否具有对大规模攻击流量进行清洗或防护的能力。阿里云计算有限公司未采纳。原评估方法中已经包含此内容。d)检查外部通信接口授权审批策略；西安未来国际有限公司采纳。——检查安全计划书、安全设计文档，是否使用符合国家密码管理法律法规的通信加密和签名验签算法及设施，是否有国家密码管理局认定测评机构出具的报告或证书。——测试云服务商所使用到的通信加密和签名验签设施是否与设计文档要求相一致；CETC30所采纳。建议收敛测试方法，因密码设备测试认可有一套严格管理规定，建议以审查相关权威机构发放的认可证书为准。（具体需要进一步落实国家密码管理局、涉密信息系统相关管理规定）。CETC30所采纳。修改建议：--测试云计算平台用户和系统安全功能之间是否建立了一条可信的通信路径。CETC30所采纳。b)修改建议：验证禁止自动执行机制是否有效；西安未来国际有限公司采纳。云服务的云服务管理平台难于验证。修改建议：对c)的评估方法增加--在网络出入口以及系统中的主机、移动计算设备上放置一段恶意代码，测试防护措施是否能够检测并予以响应。CETC30所未采纳。原评估方法已包括该内容。b)修改建议：检查恶意代码自动更新记录，包含版本信息、更新时间等；西安未来国际有限公司采纳。修改建议：--测试非授权代码是否能够执行；CETC30所采纳。修改建议：对b)的评估方法第三条文字修改为：——测试当虚拟机镜像文件被恶意篡改时，是否有完整性校验机制能够防止对镜像文件的恶意篡改。CETC30所/张玲采纳。b)对b)的评估方法第四条修改建议：对b)的评估方法第四条文字修改：——测试已经被一台虚拟机挂载的逻辑卷是否能够被其它虚拟机挂载。CETC30所/张玲采纳。c)对c)的评估方法第四条文字修改为：——检查安全计划书、信息系统架构设计文档、或其他相关文档是否提供虚拟机只能访问分配给该虚拟机的物理磁盘的技术机制；CETC30所采纳。c)修改建议：CETC30所采纳。d)修改建议：对d)的评估方法为第二条建议删除。CETC30所采纳。d)对d)的评估方法第三条：修改建议：对d)的评估方法第三条：修改为——在物理机操作系统上读取虚拟机镜像文件，查看是否进行加密保护；CETC30所部分采纳。d)修改建议：d)的评估方法第四条删除。CETC30所采纳。a)修改建议：对a)的第二条评估方法修改为：——检查虚拟网络资源实际配置是否与文档中规定的网络隔离和访问控制策略相符；——对虚拟网络资源进行数据访问或网络扫描，测试网络隔离和访问控制措施是否生效。CETC30所采纳。b)修改建议：第二条与第三条建议合并，并修改文字。对b)的评估方法修改为：——检查安全计划书、信息系统架构设计文档、或其他相关文档是否为访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施；——检查实际的网络资源配置是否与文档所规定的网络隔离和访问控制策略相符。——在访问云服务的网络和内部管理云的网络之间尝试进行数据交互或是网络扫描，检测网络间的隔离和访问控制措施是否生效。CETC30所采纳。c)第三条和第四条为第二条的测试用例和场景，放在这里过细。建议删除，并对第二条进行文字修改。修改建议：对c)的评估方法为：——检查安全计划书、信息系统架构设计文档、或其他相关文档，是否对不同客户所使用的虚拟存储资源之间有逻辑隔离的机制。——测试客户是否无法发现并访问其他客户所使用的存储资源，客户间的存储资源访问性能是否相互影响。CETC30所采纳。d)对d)的评估方法的第三条和第四条内容重复。建议合并修改建议：对d)的评估方法第三条和第四条修改为：——在租户解除存储资源的使用后，例如释放存储空间、虚拟机迁移或删除等，检测原物理存储资源上的数据（如镜像文件、快照文件、备份文件等数）是否被清除。CETC30所采纳。e)修改建议：对e)的评估方法第二条修改为：——模拟虚拟存储数据的常规操作和异常操作，检测是否有审计记录，审计记录信息要素是否完备，审计记录是否不能被修改和删除。CETC30所未采纳。标准是宏观共性的评估方法，不涉及具体用例。a)修改建议：对a)的评估方法第二条修改为：——检查存储协议级数据访问授权策略配置信息是否与文档规定的授权机制相符；——以非授权用户或方式进行存储协议级数据访问，测试是否成功。CETC30所采纳。b)修改建议：对b)的评估方法修改为——检查安全计划书、信息系统架构设计文档、或其他相关文档，检查或分析是否提供了一定机制以便客户部署满足国家密码管理规定的数据加密方案用以保护客户的私有数据。CETC30所采纳。修改建议：——在[赋值：云服务商定义的时间段]用户处于不活动状态，测试该用户是否被禁止使用。CETC30所采纳。修改建议：——检查访问脚本是否包含未加密的静态鉴别凭证。CETC30所采纳。修改建议：——查看接收记录，当接收凭证时是否经过本人或可信第三方确认。CETC30所采纳。a)检查账号管理员角色是否与自然人绑定、责任明确；西安未来国际有限公司未采纳。评估方法按照《能力要求》的评估内容来定。修改建议：——检查远程访问会话是否采取相关密码机制保证远程会话的机密性和完整性。——利用网络抓包等技术手段测试会话数据是否进行了加密保护。CETC30所采纳。a)检查是否列出了何种情况可以授权外部访问云平台；西安未来国际有限公司采纳。检查是否列出了何种情况可以授权外部访问对云计算平台上的信息进行处理、存储或存储；西安未来国际有限公司采纳。）检查配置管理计划的保护措施是否可以防止非授权的泄露和变更。西安未来国际有限公司采纳。b检查云计算平台相关设备系统的日志、配置记录等信息，证明对云计算平台上的变更实施物理和逻辑访问控制；西安未来国际有限公司未采纳。原评估方法已经包含了此内容。a设置测试用例测试自动机制可以有效地对配置参数进行集中管理、应用和验证的功能。西安未来国际有限公司未采纳。原评估方法已经包含了此内容。a将云计算平台必需功能对应的验收报告、功能白皮书等说明文档与云平台现有配置进行比对，证明对云计算平台按照仅提供必需功能进行配置。西安未来国际有限公司未采纳。云计算平台配置非常繁杂，一一验证难以实现。检查是否有强制手段确保在远程维护完成后是否终止会话和网络连接。西安未来国际有限公司未采纳。不强调使用强制手段。检查是否建立备品备件列表并对备件进行抽样检测确保其可用性。西安未来国际有限公司部分采纳。检查应急响应计划文档，查看其是否包含了容量规划的内容；检查容量规划文档是否明确了必要的信息处理容量、通信容量和环境支持能力。西安未来国际有限公司未采纳。原评估方法已体现。检查异地系统级热备设计文档、管理平台，对热备设施进行测试验证是否按照云服务商定义的频率对系统级信息进行增量备份，是否按照云服务商定义的频率对系统级信息进行全量备份。西安未来国际有限公司部分采纳。)——检查实际的脆弱性扫描工具，查看其是否开启了自动升级功能，当前使用漏洞库的发布时间、版本。西安未来国际有限公司部分采纳。)——检查风险评估和持续监控策略，是否明确定义了脆弱性扫描额广度和深度；——检查脆弱性扫描工具扫描策略，所定义的扫描广度和深度是否满足系统风险评估安全策略要求。——检查脆弱性扫描历史结果，核查扫描使用的策略是否满足系统风险评估安全策略要求。西安未来国际有限公司未采纳。评估方法按照《能力要求》的评估内容来定。)——检查管理垃圾信息机制是否有集中管控的手段。——检查管理垃圾信息机制集中管控的手段是否有效。西安未来国际有限公司采纳。)——检查管理垃圾信息机制是否有自动升级功能。——检查管理垃圾信息机制历史升级记录。西安未来国际有限公司采纳。标准草案，2015年6月11日，信安标委秘书处中期检查建议评估方法能够细化，能够支撑GB/T31168落地。顾建国张建军左晓栋采纳。建议围绕落实GB/T31168附件中系统安全计划模版编制。张建军采纳。应增强访谈方法的应用。杜虹采纳。术语应统一。杜虹卿斯汉采纳。在具体标准项评估方法中，应将访谈、检查、测试分开。左晓栋采纳。能否将Iaas、PaaS、SaaS进行分类。左晓栋未采纳。不是本标准的范围。建议将标准英文名称assessment改为evaluation。崔书昆未采纳。参照GB/T25069的术语。引言建议引言的第一段删掉。冯惠采纳。建议增加整体框图卿斯汉未采纳。评估阶段的划分比较简单，描述即较容易理解。2规范性引用文件添加GB/T25069冯惠采纳。明确评估依据，评估内容等，应与第五章有对应冯惠采纳。标准草案，2015年7月30日，信安标委秘书处专家评审这个标准本身是标准符合性测试，是过程导向的。但是审查是结果导向的，如果按照这个审，不容易审出来。李京春部分采纳。标准给出针对《能力要求》的对应评估方法，审查时可参考，并按照相关规定审查。标准中有的有一般要求，有的没有一般要求，有的有增强，有的没有增强，这样很乱。例如：防篡改，没有一般要求，可评估时没有一般项要求不合适。因此，一般要求即使原标准中没有要求，评估中也应该有。增强的可以没有。李京春未采纳。本标准是《能力要求》的配套标准，一般要求和增强要求与原标准保持一致。在法律上有的，在标准中应该体现。李京春采纳。后续持续监督的内容是否要在本标准中体现；李京春采纳。如何判断，如何给出判据，如何打分，是个很重要的问题；而且评估是提高云服务商的安全能力，应该让云服务商来了解怎么做是符合要求的。杜虹部分采纳。评估方法应跟能力要求协调一致，如果原标准有错误，这个改正，但要声明。崔书昆采纳。这个标准可以用于审查，但目前这个标准不能和审查紧相关。崔书昆采纳。现在很多地方政府都在做云，应该让他们知道这个事，去试用这个标准。崔书昆采纳。全篇的括号格式未统一，31168用的是中文括号，本标准新增内容用的是英文括号左晓栋采纳。标题建议考虑assessment和evaluation。崔书昆采纳。1特定用户、社会化，要么增加术语定义，要么不用。肖京华崔书昆陈兴蜀闵京华采纳，修改“范围”。可重用是指在适用的情况下，对云计算平台中采购的商业现货产品采用或参考其已有的测评结果。语法不太妥。此外，不仅仅是可重用对现货产品的测评结果，对于同一服务商的平台，还有很多测评结果可以重用，例如服务商自身的信息安全体系等。左晓栋采纳。保密原则是指测评人员应对涉及云服务商利益的商业信息严格保密。还有很多信息也要保密。例如云平台上已有的信息，例如第三方的信息。左晓栋采纳。4增加描述，将是按照一般要求还是按照增强要求等来进行安全评估与前面的《能力要求》、《指南》等联系起来。杜虹采纳。4关于一般和增强，如果能力要求中有，可拿过来。评估的内容，根据不同的对象，分为两级，一般和增强，在评估方法中，应该有句话来说明，评估为一般能力和增强能力。崔书昆采纳。4在具体应用三种评估方法中，应组合应用，可增加这么一句话。杜虹采纳。4评估实施过程最好画张图。卿斯汉崔书昆采纳。第5章到第14章标题同《能力要求》相似，建议增加“评估方法”左晓栋采纳。——检查规划文档、设计文档、实施文档、运维文档等相关文档，查看其是否有信息安全风险管理内容；增加“查看其是否包含风险评估报告”。左晓栋采纳。建议进一步查看云服务商是否有技术措施限制协同设备插入左晓栋采纳。要有测试，针对这项要求还应制定一批测试用例。左晓栋采纳。）要有测试左晓栋采纳。虚拟化的测试是个难点。标准中写到什么程度不好把握，建议大家讨论。也可以原则些。但如能更加明确，则更好。左晓栋采纳。应该先检查云服务商是怎么定义用户的。定义了哪些用户什么角色如何管理对云平台而言，“用户”和“管理员”复杂化了。例如，云平台运营者本身有“用户”和“管理员”的概念，而客户在使用云时，也有“用户”和“管理员”的概念。CSP应该把这些说清楚。左晓栋采纳。7本章中的很多要求，要借助“测试”来验证，建议梳理本章（及其他可能的章节）中的“检查”用语。该改为“测试”的就测试，该增加“测试”的要增加评估方法。左晓栋采纳。现在这个标准应与能力要求紧相关，增加参考文献。崔书昆采纳。标准草案，2015年8月至2015年9月，标准试用及审查办意见引言第二段标准用途表述不充分，建议调整结构。国家信息技术安全研究中心采纳。全文参考《能力要求》和《指南》，统一本标准中人员名称和文档名称中国信息安全测评中心中国电子技术标准化研究院采纳。定义中只出现了云计算服务，并未定义云服务，但是正文中多次提到云服务。建议定义云服务，可明确指出云计算服务可简称云服务，或将正文中的云服务统一改为云计算服务审查办采纳。3定义和《能力要求》标准一样，未针对本标准相关参与方和活动进行定义，如在、出现评估工作和评估人员等内容，在3中无定义。建议在3术语和定义中增加评估相关人员或活动的定义。审查办采纳。4对现场评估的描述中缺少测试的相关内容。建议增加测试相应内容。审查办采纳。灵活原则描述缺少主语，建议增加主语。国家信息技术安全研究中心采纳。“最大程度减少对云服务商的风险”，减少描述不妥当，建议改为降低。国家信息技术安全研究中心采纳。标准存在第三方机构、第三方评估机构说法，不够统一。国家信息技术安全研究中心采纳。评估实施过程描述过于简单，无法较好的指导实施。在评估过程中，沟通需提供的证据很重要。细化评估实施过程，增加沟通需提供证据的内容。中国电子技术标准化研究院采纳。系统开发与供应链安全策略和规程、系统开发与供应链安全策略与规程等说法不统一，很多这样的情况。国家信息技术安全研究中心采纳。对b）的评估方法两个“和预算文件中”，存在重复。国家信息技术安全研究中心采纳。a的评估方法存在标点符号错误“。”，建议修改为分号。国家信息技术安全研究中心采纳。b的评估方法里面存在标点符号错误，建议修改为分号。国家信息技术安全研究中心采纳。对b）d）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术安全研究中心采纳。对j）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术安全研究中心采纳。d）e)的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术安全研究中心采纳。c）的评估方法为：（1）检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了在云服务商定义的频率或云服务商定义的情况下，需检测是否受到篡改的信息系统、组件或设备；语句不通顺，后面多一个“是否”（2）检查检测篡改的记录，查看云服务商是对所定义的信息系统、组件或设备按照要求实施了篡改检测。语句不通顺，缺少一个否。国家信息技术安全研究中心采纳。e）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术安全研究中心采纳。b）——检查报告赝品组件的记录等相关文档，查看其是否按照要求报告；——访谈所定义的人员和角色等相关人员，询问其赝品组件报告情况。应先访谈是否有赝品组件，然后再检查。中国电子技术标准化研究院采纳。c）的评估方法中，访谈无法实现“查看其”内容。国家信息技术安全研究中心采纳。d）的评估方法存在标点符号“；”错误，建议修改为句号。国家信息技术安全研究中心采纳。f）的评估方法,访谈中多一个保护。国家信息技术安全研究中心采纳。g）的访谈内容语句不通顺，“询问其确认所收到的信息系统或组件真实且未被改动的保护措施实施情况”。国家信息技术安全研究中心采纳。g）缺乏对保护措施的检查。建议：——检查所定义的对所收到的信息系统或组件真实且未被改动的保护措施的确认记录等相关文档，查看云服务商是否按规定实施了保护措施；中国电子技术标准化研究院采纳。对h）的评估方法存在标点符号“。”错误，建议修改为分号。国家信息技术安全研究中心采纳。m）有可能云服务商还没有变更过供应商，因此，应该先访谈，如果的确有变更，再检查变更的风险控制措施实施情况。中国电子技术标准化研究院采纳。i)——测试不同客户或同一用户不同业务信息系统之间的隔离机制，验证隔离机制是否有效。国家信息技术安全研究中心采纳。——测试云计算平台中移动代码的限制机制，验证其是否能够对移动代码的使用进行限制。只是写“限制”是否要求偏低，如果有限制，但是限制不完善呢可否改为“验证其是否能够对移动代码的使用进行合理限制。”国家信息技术安全研究中心采纳。）“——检查云计算平台配置参数设置，查看其是否禁止自动执行移动设备上代码；”，该要求的评估方法中有测试，建议直接采用测试证据，不需要检查配置了。中国电子技术标准化研究院采纳。b)——检查虚拟机跨物理机迁移过程中的保护措施，查看其是否可以提供虚拟机跨物理机迁移保护。“可以”去掉国家信息技术安全研究中心采纳。.2c）对c）的评估方法为：——检查虚拟化策略、系统设计说明书等相关文档，查看其是否有对虚拟机的网络接口带宽进行管理的要求；——检查虚拟机的网络接口带宽管理配置，查看其是否符合带宽管理的要求。第一句：是否应该改为查看对网络带宽进行管理的技术机制。第二句：是否应该改为，测试带宽管理的技术机制是否有效国家信息技术安全研究中心部分采纳。对a）的评估方法为：增加如下内容：——检查配置管理计划，查看其是否按照要求制定并实施了配置管理计划。国家信息技术安全研究中心采纳。对a）的评估方法改为：“——检查配置管理策略与规程、配置管理计划等相关文档，查看其是否明确了在系统受控配置列表中应包含的云计算平台的变更配置项；”国家信息技术安全研究中心采纳。对d）的评估方法为：“——测试禁止非授权软件运行的机制，查看是否其禁止了非授权软件的运行。”不通顺，次序需要调整。国家信息技术安全研究中心采纳。“——检查及时维护策略及相关保障措施，查看列表中的备品备件是否能在系统组件发生故障的时间段内投入运性；”错别字“运性”。国家信息技术安全研究中心采纳。对d）的评估方法改为：“——检查应急响应计划，查看其是否有在系统发生变更或事件响应计划在实施、执行或测试中遇到问题时，及时修改应急响应计划的要求，查看其是否定义了修改应急响应计划后应通报的人员、角色或部门；”国家信息技术安全研究中心采纳。原文"询问所所定义机制的落实情况"修改为“询问所定义机制的落实情况”中国信息安全测评中心采纳。标准草案，2015年11月24日，信安标委秘书处专家评审，形成征求意见稿标准是对云服务商的能力进行评估，还是对云服务或者云计算平台进行评估。建议明确标准的定位。卿斯汉闵京华采纳。标准定位为对云服务商在提供云计算服务时所具备的安全能力进行评估。已发布的国家标准中，如果已有相关测试用例的，可在本标准中注明。顾建国采纳。如果本标准中只是少量引用了别的标准内容，可以直接在本标准中写，如果本标准中大量引用了别的标准内容，可以在引用处给出原标准的章节号，不直接写内容。顾建国采纳。引言“政府部门应对拟迁移至云计算平台的信息和业务进行分析，按照信息的敏感程度和业务的重要程度选择相应安全能力水平的云服务商。GB/T31167－2014《信息安全技术云计算服务安全指南》给出了信息、业务类型与安全保护要求之间的对应关系”的描述与本标准关系不大，建议删除。贾颖禾宿忠民顾建国采纳。建议增加对评估结果的定性的描述。顾建国采纳。对有些云服务商能力的评估只通过检查就可以了，不需要测试；对有些云服务商能力的评估还需要测试，虚拟化测试技术还不成熟。卿斯汉采纳。在评估原则中的“可重用”原则，对于已有的测试评估结果可在适用时予以采信。虚拟化测试技术尚不成熟，在本标准中先行提出该项标准条款需要测试，后续可通过制定相关标准、技术研究等方式进一步补充。标准征求意见稿，2016年6月，大数据安全特别工作组征求意见术语标准的术语应参照最近发表的国标GB/T32400-2015云计算词汇与概述IBM未采纳。该标准为基于GB/T31168-2014的评估标准，术语沿用GB/T31168-2014和GB/T31167-2014.角色定义标准的角色定义应参照最近发表的国标GB/T32399-2015云计算参考架构IBM未采纳。该标准为基于GB/T31168-2014的评估标准，术语沿用GB/T31168-2014和GB/T31167-2014.评估内容第一段中“风险评估和持续监控”应改为“风险评估与持续监控”，与能力要求标准保持一致。国家信息技术安全研究中心采纳。删除“在云服务商通过安全评估后，并与客户签订提供服务时，第三方评估机构也可按照相关规定、客户委托或其它情况积极参与和配合运行监管工作，具体实施应参照GB/T31167—2014中的相关要求。”理由：评估流程只包括四个阶段。这是行政要求，不应纳入技术标准范畴。并且这是云审持续监督工作，在评估内容、评估方法和评估流程上也会不同。中国信息安全测评中心部分采纳。此部分的确属于云持续监督的工作，在评估内容、评估方法和评估流程上可能会不同。修改为具体实施应参照GB/T31167—2014及运行监管相关规定。评估实施过程是否存在回滚或者返回修订的过程。陕西省信息化工程研究院可根据具体情况来确定。“——检查禁用不必要或高风险的功能、端口、协议或服务的操作记录，查看其是否符合要求。”意为查看操作记录是否符合要求，而标准原文应该是按照要求禁用不必要或高风险的功能、端口、协议或服务。，且此处应该有测试的过程。建议改为“——测试不必要的或高风险的功能、端口、协议或服务，验证其是否已被禁止使用。”国家信息技术安全研究中心采纳。国家信息技术安全研究中心采纳。“——检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了安全措施，以防止所定义的外部服务提供商损害本组织的利益；——检查下列安全措施的实施记录等相关文档，查看其是否符合要求：1）对外部服务提供商进行人员背景审查，或要求外部服务提供商提供可信的人员背景审查结果。2）检查外部服务提供商资本变更记录。3）选择可信赖的外部服务提供商，如有过良好合作的提供商。4）定期或不定期检查外部服务提供商的设施。”安全措施应该是云服务商自己定义，不应该直接检查上述安全措施的实施记录，上述措施为推荐措施，建议改为：“——检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了安全措施，以防止所定义的外部服务提供商损害本组织的利益，安全措施可以是：1）对外部服务提供商进行人员背景审查，或要求外部服务提供商提供可信的人员背景审查结果。2）检查外部服务提供商资本变更记录。3）选择可信赖的外部服务提供商，如有过良好合作的提供商。4）定期或不定期检查外部服务提供商的设施。——检查云服务商定义的安全措施的实施记录等相关文档，查看其是否符合要求。”国家信息技术安全研究中心采纳。国家信息技术安全研究中心采纳。增加内容“测试信息与安全属性之间的关联度量”西安电子科技大学未采纳。检查即可查看出关联度。对c）的评估方法为：“——检查审计分析报告，查看其是否涵盖了以下内容：1）提供的云计算性能指标是否达到服务水平协议（SLA）的要求；2）云计算平台信息安全状态的整体描述；3）审计中发现的异常情况以及处置情况；4）云计算平台中涉及客户的敏感操作的情况及其统计分析。”缺少第五条：5）云计算平台远程访问的总体情况及其统计分析国家信息技术安全研究中心采纳。《信息安全技术云计算服务安全能力评估方法》标准编制组二〇一六年六月十三日