《信息安全技術云計算服務安全能力評估方法》

1、意見匯總處理表標準項目名稱：信息安全技術云計算服務安全能力評估方法承辦人：王惠蒞共23頁標準項目負責起草單位：中國電子技術標準化研究院電話：12016年6月13日填寫序號標準章條編號意見內(nèi)容提出單位處理意見備注標準草案，2015年5月20日發(fā)編制組內(nèi)部征求意見1.依據(jù)當前評估條目的適用性， 提取共性項，對僅適用于特殊場景下的評估點標注其使用建議，或單獨章節(jié)形成特定測評點要求。cetc30所未采納。對服務類型進行區(qū)分超出本標準的氾圍。2.當前稿中涉及的角色稱謂名稱較多，各稱 謂代表的對象范疇沒有明示，容易混淆， 比如用戶、客戶、租戶之間的差異。修改建議：對用戶、租戶、客戶、外部人cetc30所未

2、米納。按照能力要求相關規(guī)定。序號標準章條編號意見內(nèi)容提出單位處理意見備注員、特權用戶、特權賬戶等各稱謂明確含義范疇，規(guī)范其使用。3.1建議將“對以社會化方式”去掉阿里云計算有限公司未采納。與能力要求保持t。4.4.1綜合考慮原則不是原則，可重復和可充用、 可再現(xiàn)比較理想，比較難實現(xiàn)。中國信息安全測評中心部分采納。5.4.1建議改為“采用或參考其已有的公正第三方的測評結果”。阿里云計算有限公司部分采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注6.4.1建議改為“靈活是指在對女服務商進行安全控制措施裁剪、替換等情況卜，”阿里云計算有限公司未米納。應是由石服方冏裁剪、替換安全控制措施等。7.4.

3、2增加相應章十，1、描述安全評估系統(tǒng)要求，安全配件要求。成都大學未采納。本標準只規(guī)范評估方法，不涉及評估系統(tǒng)。8.建議修改格式，“涉及”格式為斜體國家信息技人安全研究中心采納。9.5.3.1a)修改建議：檢查云服務商是否定義系統(tǒng)生命周期、并定義生命周期各節(jié)點及特征；西安未來國際有限公司未采納。系統(tǒng)生命周期定義可參考已有國標。序號標準章條編號意見內(nèi)容提出單位處理意見備注10.5.4.2f)修改建議：檢查開發(fā)商提供的說明文檔是否啟對功 能、端口、協(xié)議和服務的詳細說明，并列 出不必要和高風險的功能、端口、協(xié)議或 服務，并查看是否已禁用。tfff|a采納。四女木木國際有限公司11.修改建議：測試應用信

4、息系統(tǒng)設計、開發(fā)、實現(xiàn)和修改過程中的機制，是否實現(xiàn)自動化機制。國家信息技人安全研究中心未米納。能力要求不涉及自動化機制12.5.9.2b)將“得”改為“的”國家信息技人安全研究中心采納。13.5.10.2c)修改建議：國家信息采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注5.10.2f)增加句號。技木安全研究中心14.5.11.1a）評估方法修改建議：測試系統(tǒng)、組件或服務的在設計、開發(fā)、實現(xiàn)、運行過程中的配置管理方式，是否實現(xiàn)自動化管理。國家信息技人安全研究中心未米納。15.5.12.2a)修改建議：檢查開發(fā)階段所使用的靜態(tài)代碼分析工具配置；西安未來國際有限公司部分采納。16.5.12.2

5、e)修改建議：檢查開發(fā)商的滲透性測試相關文檔（測試計劃、測試報告）西安未來國際有限公司未采納。只看報告就能體現(xiàn)。序號標準章條編號意見內(nèi)容提出單位處理意見備注17.6.2.1b）評估方法是否對外公開的組件與內(nèi)部網(wǎng)絡劃分為不同的子網(wǎng)絡，阿里云計算有限公司采納。18.6.2.2a）評估方法搭建物理獨立的計算資源池、存儲資源池和網(wǎng)絡資源池阿里云計算有限公司未米納。同能力要求描述方式。19.6.2.2b)測試是否具有對大規(guī)模攻擊流量進行清洗或防護的能力。阿里云計算有限公司卡米納。原評估方法中已經(jīng)包含此內(nèi)容。20.6.2.2d)檢查外部通信接口授權審批策略；西安未來國際有限公司采納。序號標準章條編號意見內(nèi)

6、容提出單位處理意見備注21.檢查安全計劃書、安全設計文檔，是 否使用符合國家密碼管理法律法規(guī)的通信 加密和簽名驗簽算法及設施，是否有國家 密碼管理局認定測評機構出具的檢測報告 或證書。測試云服務商所使用到的通信加密和 簽名驗簽設施是否與設計文檔要求* 致；cetc30所采納。22.建議收斂測試方法，因密碼設備測試認可 有一套嚴格管理規(guī)定，建議以審查相關權 威機構發(fā)放的認可證書為準。（具體需要 進一步落實國家密碼管理局、涉密信息系cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注統(tǒng)相關管理規(guī)定）。23.修改建議：增加-測試云計算平臺用戶和系統(tǒng)安全功能之間是否建立了一條可信的通信路徑

7、。cetc30所采納。24.6.8.2b)修改建議：驗證禁止自動執(zhí)行機制是否啟效；西安未來國際有限公司采納。云服務的云服務管理平 臺難于驗證。25.修改建議：對6.11.1c）的評估方法增加-在網(wǎng)絡出入口以及系統(tǒng)中的主機、移動 計算設備上放置一段惡意代碼，測試防護cetc30所未采納。原評估方法已包括該 內(nèi)容。序號標準章條編號意見內(nèi)容提出單位處理意見備注措施是否能夠檢測并予以響應。26.6.11.2b)修改建議：檢查惡意代碼自動更新記錄，包含版本信息、更新時間等；西安未來國際有限公司采納。27.6.12.2 . 2修改建議：-測試非授權代碼是否能夠執(zhí)行；cetc30所采納。28.修改建議：對6

8、.13.1b）的評估方法第三條文字修改 為：測試當虛擬機鏡像文件被惡意篡 改時，是否有完整性校驗機制能夠防止對 鏡像文件的惡意篡改。cetc30所/張玲采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注29.6.13.1b)對6.13.1b）的評估方法第四條修改建議：對6.13.1b）的評估方法第四條文字修改：測試已經(jīng)被一臺虛擬機掛載的邏輯卷是否能夠被其它虛擬機掛載。cetc30所/張玲采納。30.6.13.1c)對6.13.1c）的評估方法第四條文字修改 為：檢查安全計劃書、信息系統(tǒng)架構設計 文檔、或其他相關文檔是否提供虛擬機只 能訪問分配給該虛擬機的物理磁盤的技術 機制；cetc30所采納

9、。31.6.13.1c)修改建議：cetc30采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注的評估方法為第五條和第六條建議刪除。所32.6.13.1d)修改建議：對6.13.1d）的評估方法為第二條建議刪除。cetc30所采納。33.6.13.2d)對6.13.2d）的評估方法第三條：修改建議：對6.13.2d）的評估方法第三條：修改為在物理機操作系統(tǒng)上讀取虛擬機鏡像文件，查看是否進行加密保護；cetc30所部分采納。34.6.13.2d)修改建議：6.13.2d）的評估方法第四條刪除。cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注35.6.14.1a)修改建議：對6.1

10、4.1a）的第二條評估方法修改為：檢查虛擬網(wǎng)絡資源實際配置是否 與文檔中規(guī)定的網(wǎng)絡隔離和訪問控制策略 相符；對虛擬網(wǎng)絡資源進行數(shù)據(jù)訪問或 網(wǎng)絡掃描，測試網(wǎng)絡隔離和訪問控制措施 是否生效。cetc30所采納。36.6.14.1b)修改建議：第二條與第三條建議合并，并修改文字。對6.14.1b）的評估方法修改為：檢查安全計劃書、信息系統(tǒng)架構cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注設計文檔、或其他相關文檔是否為訪問玄 服務的網(wǎng)絡和內(nèi)部管理云的網(wǎng)絡之間采取 隔離和訪問控制措施；檢查實際的網(wǎng)絡資源配置是否與 文檔所規(guī)定的網(wǎng)絡隔離和訪問控制策略相 符。在訪問云服務的網(wǎng)絡和內(nèi)部管理云

11、的 網(wǎng)絡之間嘗試進行數(shù)據(jù)交互或是網(wǎng)絡掃 描，檢測網(wǎng)絡間的隔離和訪問控制措施是 否生效。37.6.15.1c)第三條和第四條為第二條的測試用例和場 景，放在這里過細。建議刪除，并對第二cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注條進行文字修改。修改建議：對6.15.1c）的評估方法為：檢查安全計劃書、信息系統(tǒng)架構 設計文檔、或其他相關文檔，是否對不同 客戶所使用的虛擬存儲資源之間有邏輯隔 離的機制。測試客戶是否無法發(fā)現(xiàn)并訪問其他客 戶所使用的存儲資源，客戶間的存儲資源 訪問性能是否相互影響。38.6.15.1d)對6.15.1d）的評估方法的第三條和第四條內(nèi)容重復。建議合并c

12、etc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注修改建議：對6.15.1d）的評估方法第三條和第四條修 改為：在租戶解除存儲資源的使用后， 例如釋放存儲空間、虛擬機遷移或刪除等， 檢測原物理存儲資源上的數(shù)據(jù)（如鏡像文 件、快照文件、備份文件等數(shù)）是否被清 除。39.6.15.1e)修改建議：對6.15.1e）的評估方法第二條修改為：模擬虛擬存儲數(shù)據(jù)的常規(guī)操作和異常操作，檢測是否有審計記錄，審計記錄信cetc30所未采納。標準是宏觀共性的評 估方法，不涉及具體用例。序號標準章條編號意見內(nèi)容提出單位處理意見備注息要素是否完備，審計記錄是否不能被修改和刪除。40.6.15.2a)修改建

13、議：對6.15.2a）的評估方法第二條修改為：檢查存儲協(xié)議級數(shù)據(jù)訪問授權策 略配置信息是否與義檔規(guī)定的授權機制相 符；以非授權用戶或方式進行存儲協(xié) 議級數(shù)據(jù)訪問，測試是否成功。cetc30所采納。41.6.15.2b)修改建議：對6.15.2b）的評估方法修改為檢查安全計劃書、信息系統(tǒng)架構設計cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注文檔、或其他相關文檔，檢查或分析是否 提供了 一定機制以便客戶部署滿足國家密 碼管理規(guī)定的數(shù)據(jù)加密方案用以保護客戶 的私有數(shù)據(jù)。42.e)修改建議：e）的評估方法為修改為：在賦值：云服務商定義的時間 段用戶處于不活動狀態(tài)，測試該用戶是否 被禁

14、止使用。cetc30所采納。43.b)修改建議：b）的評估方法為第一條：檢查訪問腳本是否包含未加密的靜態(tài)cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注鑒別憑證。44.c)修改建議：c）的評估方法為第二條修改為：查看接收記錄，當接收憑證時是否經(jīng) 過本人或可信第三方確認。cetc30所采納。45.7.8.1a)檢查賬號管理員角色是否與自然人綁定、責任明確；西安未來國際有限公司未采納。評估方法按照能力 要求的評估內(nèi)容來定。46.修改建議：b）的評估方法為：檢查遠程訪問會話是否采取相關密碼機制保證遠程會話的機密性和完整cetc30所采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注性

15、。利用網(wǎng)絡抓包等技術手段測試會話數(shù)據(jù)是否進行了加密保護。47.7.21.1a)檢查是否列出了何種情況可以授權外部訪問云平臺；西安未來國際有限公司采納。48.b)檢查是否列出了何種情況可以授權外部訪 問對云計算平臺上的信息進行處理、存儲 或存儲；西安未來國際有限公司采納。49.)檢查配置管理計劃的保護措施是否可以防止非授權的泄露和變更。西安未來國際有限公司采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注50.8.4.2.b檢查云計算平臺相關設備系統(tǒng)的日志、配 置記錄等信息，證明對云計算平臺上的變 更實施物理和邏輯訪問控制；西安未來國際有限公司未采納。原評估方法已經(jīng)包含 了此內(nèi)容。51.8.5.

16、2.a設置測試用例測試自動機制可以有效地對 配置參數(shù)進行集中管理、應用和驗證的功 能。西安未來國際有限公司未采納。原評估方法已經(jīng)包含 了此內(nèi)容。52.8.6.1.a將云計算平臺必需功能對應的驗收報告、功能白皮書等說明文檔與云平臺現(xiàn)有配置 進行比對，證明對云計算平臺按照僅提供 必需功能進行配置。西安未來國際有限公司未采納。云計算平臺配置非常 繁雜，驗證難以實現(xiàn)。53.e檢查是否啟強制手段確保在遠程維護完成后是否終止會話和網(wǎng)絡連接。西安未來國際有限未采納。不強調(diào)使用強制手 段。序號標準章條編號意見內(nèi)容提出單位處理意見備注公司54.檢查是否建立備品備件列表并對備件進行抽樣檢測確保具可用性。西安未來國

17、際有限公司部分采納。55.a檢查應急響應計劃文檔，查看其是否包含 了容量規(guī)劃的內(nèi)容；檢查容量規(guī)劃文檔是 否明確了必要的信息處理容量、通信容量 和環(huán)境支持能力。西安未來國際有限公司未采納。原評估方法已體現(xiàn)。56.檢查異地系統(tǒng)級熱備設計文檔、管理平臺，對熱備設施進行測試驗證是否按照云服務商定義的頻率對系統(tǒng)級信息進行增量備份，是否按照女服務商定義的頻率對系統(tǒng)西安未來國際有限公司部分采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注級信息進行全量備份。57.a)檢查實際的脆弱性掃描工具，查看其西安未來是否開啟了自動升級功能，當前使用漏洞國際有限部分采納。庫的發(fā)布時間、版本。公司58.c)檢查風險評估和

18、持續(xù)監(jiān)控策略，是否西安未來明確定義了脆弱性掃描額廣度和深度；國際有限檢查脆弱性掃描工具掃描策略，所定公司義的掃描廣度和深度是否滿足系統(tǒng)風險評未采納。評估方法按照能力估安全策略要求。要求的評估內(nèi)容來定。檢查脆弱性掃描歷史結果，核查掃描使用的策略是否滿足系統(tǒng)風險評估安全策略要求。序號標準章條編號意見內(nèi)容提出單位處理意見備注59.a)檢查管理垃圾信息機制是否有集中管控的手段。檢查管理垃圾信息機制集中管控的手段是否啟效。西安未來國際有限公司采納。60.b)檢查管理垃圾信息機制是否有自動升級功能。檢查管理垃圾信息機制歷史升級記錄。西安未來國際有限公司采納。標準草案，2015年6月11日，信安標委秘書處中

19、期檢查61.建議評估方法能夠細化，能夠支撐gb/t3116潴地。顧建國張建軍左曉棟采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注62.建議圍繞落實gb/t31168附件中系統(tǒng)安全計劃模版編制。張建軍采納。63.應增強訪談方法的應用。杜虹采納。64.術語應統(tǒng)一。杜虹卿斯?jié)h采納。65.在具體標準項評估方法中，應將訪談、檢查、測試分開。左曉棟采納。66.能否將iaas、paas saass行分類。左曉棟木夕y土內(nèi)。不ze本標準的氾圍。67.建議將標準英乂名稱assessment改為evaluation 。崔書昆未采納。參照gb/t25069的術語。68.引言建議引言的第一段刪掉。馮惠采納。序號標

20、準章條編號意見內(nèi)容提出單位處理意見備注69.建議增加整體框圖卿斯?jié)h未采納。評估階段的劃分比較 簡單，描述即較容易理解。70.2規(guī)范性引用文件添加 gb/t25069馮惠采納。71.4.2明確評估依據(jù)，評估內(nèi)容等，應與第五章有對應馮惠采納。標準草案，2015年7月30日，信安標委秘書處專家評審72.這個標準本身是標準符合性測試，是過程 導向的。但是審查是結果導向的，如果按 照這個審，不容易審出來。李京春部分采納。標準給出針對能 力要求的對應評估方法，審 查時可參考，并按照相關規(guī)定 審查。73.標準中有的有一般要求，有的沒有一般要 求，有的有增強，有的沒有增強，這樣很 舌例如：防篡改，沒有一要求，

21、可評李京春未米納。本標準是能力要求 的配套標準，一般要求和增強 要求與原標準保持一致。序號標準章條編號意見內(nèi)容提出單位處理意見備注估時沒有一般項要求不合適。因此，一般 要求即使原標準中沒有要求，評估中也應 該有。增強的可以沒有。74.在法律上有的，在標準中應該體現(xiàn)。李京春采納。75.后續(xù)持續(xù)監(jiān)督的內(nèi)容是否要在本標準中體現(xiàn)；李京春采納。76.如何判斷，如何給出判據(jù)，如何打分，是 個很重要的問題；而且評估是提高云服務 商的安全能力，應該讓云服務商來了解怎 么做是符合要求的。杜虹部分采納。77.評估方法應跟能力要求協(xié)部送，如果原標準有錯誤，這個改正，但要聲明。崔書昆采納。序號標準章條編號意見內(nèi)容提出

22、單位處理意見備注78.這個標準可以用于審查，但目前這個標準不能和審查緊相關。崔書昆采納。79.現(xiàn)在很多地方政府都在做云，應該讓他們 知道這個事，去試用這個標準。崔書昆采納。80.全篇的括號格式未統(tǒng)一，31168用的是中文括號，本標準新增內(nèi)容用的是英文括號左曉棟采納。81.標題建議考慮 assessment 和 evaluation 。崔書昆采納。82.1特定用戶、社會化，要么增加術語定義，要么不用。肖京華崔書昆陳興蜀采納，修改“范圍”。序號標準章條編號意見內(nèi)容提出單位處理意見備注閔京華83.4.1可重用是指在適用的情況下，對云計算平 臺中采購的商業(yè)現(xiàn)貨產(chǎn)品采用或參考其已 有的測評結果。語法不太

23、妥。止匕外，不僅 僅是可重用對現(xiàn)貨產(chǎn)品的測評結果，對于 同一服務商的平臺，還有很多測評結果可 以重用，例如服務商自身的信息安全體系 等。左曉棟采納。84.4.1保密原則是指測評人員應對涉及云服務商 利益的商業(yè)信息嚴格保密。還有很多信息 也要保密。例如云平臺上已有的信息，例 如第三方的信息。左曉棟采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注85.4增加描述，將是按照一般要求還是按照增 強要求等來進行安全評估與前面的能力 要求、指南等聯(lián)系起來。杜虹采納。86.4關于一般和增強，如果能力要求中有，可 拿過來。評估的內(nèi)容，根據(jù)不同的對象， 分為兩級,一般和增強，在評估方法中， 應該有句話來說明，

24、評估為一能型口增 強能力。崔書昆采納。87.4在具體應用三種評估方法中， 應組合應用，可增加這么一句話。杜虹采納。88.4評估實施過程最好畫張圖。卿斯?jié)h崔書昆采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注89.第5章到第14章標題同能力要求相似，建議增加“評估方法”左曉棟采納。90.檢查規(guī)劃文檔、設計文檔、實施義檔、 運維文檔等相關義檔，查看其是否有信息 安全風險管理內(nèi)容；增加“查看其是否包 含風險評估報告”。左曉棟采納。91.建議進步查看女服務商是否有技術措施限制協(xié)同設備插入左曉棟采納。92.要有測試，針對這項要求還應制定一批測試用例。左曉棟采納。93.)要有測試左曉棟采納。序號標準章條

25、編號意見內(nèi)容提出單位處理意見備注94.虛擬化的測試是個難點。標準中寫到 什么程度？不好把握，建議大家討論。也 可以原則些。但如能更加明確，則更好。左曉棟采納。95.應該先檢查云服務商是怎么定義用戶 的。定義了哪些用戶？什么角色？如何管 理？對女平臺而百，“用戶”和“管理員” 復雜化了。例如，女平臺運營者本身有“用 戶”和“管理員”的概念，而客戶在使用 云時，也有“用戶”和“管理員”的概念。 csp應該把這些說清楚。左曉棟采納。96.7本章中的很多要求，要借助“測試”左曉棟采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注來驗證，建議梳理本章（及其他可能的章 節(jié)）中的“檢查”用語。該改為“測試”

26、 的就測試，該增加“測試”的要增加評估 方法。97.現(xiàn)在這個標準應與能力要求緊相關，增加經(jīng)受文獻。崔書昆采納。標準草案，2015年8月至2015年9月，標準試用及審查辦意見98.引言第二段標準用途表述不充分，建議調(diào)整結構。國家信息技人安全研究中心采納。99.全文參考能力要求和指南，統(tǒng)一本標中國信息采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注準中人員名稱和文檔名稱安全測評中心中國電子技術標準化研究院100.3.2定義中只出現(xiàn)了云計算服務，并未定義云 服務，但是正文中多次提到云服務。建議 定義云服務，可明確指出云計算服務可簡 稱云服務，或將正文中的云服務統(tǒng)一改為 云計算服務審查辦采納。101

27、.3定義和能力要求標準一樣，未針對本標準相關參與方和活動進行定義，如在審查辦采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注4.1、4.2出現(xiàn)評估工作和評估人員等內(nèi)容， 在3中無定義。建議在3術語和定義中增 加評估相關人員或活動的定義。102.4對現(xiàn)場評估的描述中缺少測試的相關內(nèi)容。建議增加測試相應內(nèi)容。審查辦采納。103.4.1靈活原則描述缺少主語，建議增加主語。國家信息技人安全研究中心采納。104.4.1“最大程度減少對云服務商的風險”，減 少描述不妥當，建議改為降低。國家信息技人安全研究中心采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注105.4.5標準存在第三方機構、第三方評估機

28、構說法，不夠統(tǒng)一。國家信息技人安全研究中心采納。106.4.5評估實施過程描述過于簡單，無法較好的 指導實施。在評估過程中，溝通需提供的 證據(jù)很重要。細化評估實施過程，增加溝 通需提供證據(jù)的內(nèi)容。中國電子技術標準化研究院采納。107.系統(tǒng)開發(fā)與供應鏈安全策略和規(guī)程、系統(tǒng) 開發(fā)與供應鏈安全策略與規(guī)程等說法不統(tǒng) 一，很多這樣的情況。國家信息技人安全研究中心采納。108.對b）的評估方法兩個“工作計劃和預算文件中”，存在重復。國家信息技人安全采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注研究中心109.a的評估方法存在標點符號錯誤 “?！?，建議修改為分號。國家信息技人安全研究中心采納。110.b

29、的評估方法里面存在標點符號錯誤，建議修改為分號。國家信息技人安全研究中心采納。111.對b） d）的評估方法存在標點符號” 錯誤，建議修改為分號。國家信息技人安全研究中心采納。112.對j ）的評估方法存在標點符號 一錯誤，國家信息采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注建議修改為分號。技木安全研究中心113.d) e)的評估方法存在標點符號”錯誤，建議修改為分號。國家信息技人安全研究中心采納。114.c)的評估方法為：(1)檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī) 程等相關文檔，查看其是否定義了在云服 務商定義的頻率或女服務商定義的情況 下，需檢測是否受到篡改的信息系統(tǒng)、組 件或設備；語句

30、不通順，后面多一個“是 否”國家信息技人安全研究中心采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注(2)檢查檢測篡改的記錄，查看女服務商 是對所定義的信息系統(tǒng)、組件或設備按照 要求實施了篡改檢測。語句不通順，缺少 一個否。115.e)的評估方法存在標點符號”錯誤，建議修改為分號。國家信息技人安全研究中心采納。116.5.15.2.2b )檢查才艮告js品組件的記錄等相關 文檔，查看其是否按照要求報告；訪談所定義的人員和角色等相關 人員，詢問其js品組件報告情況。應先訪談是否白鷹品組件，然后再檢中國電子技術標準化研究院采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注查。117.c）的評估方

31、法中，訪談無法實現(xiàn)“查看其”內(nèi)容。國家信息技人安全研究中心采納。118.d）的評估方法存在標點符號“；”錯誤，建議修改為句號。國家信息技人安全研究中心采納。119.f）的評估方法，訪談中多一個保護。國家信息技人安全研究中心采納。120.g）的訪談內(nèi)容語句不通順，“詢問具確認國家信息采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注所收到的信息系統(tǒng)或組件真實且未被改動的保護措施實施情況”。技木安全研究中心121.g）缺乏對保護措施的檢查。建議：檢查所定義的對所收到的信息系統(tǒng)或組件真實且未被改動的保護措 施的確認記錄等相關文檔，查看云服務商是否按規(guī)定實施了保護措施；中國電子技術標準化研究院采納。1

32、22.對h）的評估方法存在標點符號”錯誤，建議修改為分號。國家信息技人安全研究中心采納。123.mj）有可能女服務冏還沒啟艾更過供應商， 因此，應該先訪談，如果的確后變更，再中國電子技術標準采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注檢查變更的風險控制措施實施情況?；芯吭?24.測試不同客戶或同一用戶不同業(yè)國家信息6.2.2.2i)務信息系統(tǒng)之間的隔離機制，驗證隔離機技木安全采納。制是否后效。研究中心125.測試云計算平臺中移動代碼的限國家信息采納。制機制，驗證具是否能夠對移動代碼的使技木安全用進行限制。研究中心6.8.1.2只是寫“限制”是否要求偏低，如果有限制，但是限制不完善呢？可

33、否改為“驗證具是否能夠對移動代碼的使用進行合理限制。”序號標準章條編號意見內(nèi)容提出單位處理意見備注126.)檢查女計算平臺配置參數(shù)設置，查看其是否禁止自動執(zhí)行移動設備上代碼；”，該要求的評估方法中有測試，建議直接采用測試證據(jù)，不需要檢查配置了。中國電子技術標準化研究院采納。127.6.13.2.2b)檢查虛擬機跨物理機遷移過程中 的保護措施，查看其是否可以提供虛擬機 跨物理機遷移保護。“可以”去掉國家信息技人安全研究中心采納。128.6.14.1.2c )對c）的評估方法為：檢查虛擬化策略、系統(tǒng)設計說明 書等相關義檔，查看其是否有對虛擬機的 網(wǎng)絡接口帶寬進行管理的要求；國家信息技人安全研究中心

34、部分采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注檢查虛擬機的網(wǎng)絡接口帶寬管理 配置，查看其是否符合帶寬管理的要求。第一句：是否應該改為查看對網(wǎng)絡帶 寬進行管理的技術機制。第二句：是否應該改為，測試帶寬管 理的技術機制是否有效？129.對a）的評估方法為：增加如下內(nèi)容：檢查配置管理計劃，查看其是否按照要求制定并實施了配置管理計劃。國家信息技人安全研究中心采納。130.對a）的評估方法改為：檢查配置管理策略與規(guī)程、配置管理計劃等相關文檔，查看其是否明確國家信息技人安全研究中心采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注了在系統(tǒng)受控配置列表中應包含的云計算平臺的變更配置項；”131.對d

35、）的評估方法為：測試禁止非授權軟件運行的機 制，查看是否具禁止了非授權軟件的運 行?！辈煌?，次序需要調(diào)整。國家信息技人安全研究中心采納。132.檢查及時維護策略及相關保障 措施，查看列表中的備品備件是否能在系 統(tǒng)組件發(fā)生故障的時間段內(nèi)投入運性；” 錯別字“運性”。國家信息技人安全研究中心采納。133.對d）的評估方法改為：國家信息采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注 檢查應急響應計劃，查看其是 臺后在系統(tǒng)發(fā)生變更或事件響應計劃在實 施、執(zhí)行或測試中遇到問題時，及時修改 應急響應計劃的要求，查看其是否定義了 修改應急響應計劃后應通報的人員、角色 胡b門；”技木安全研究中心134.

36、原文”詢問所所定義機制的落實情況”修改為“詢問所定義機制的落實情況”中國信息安全測評中心采納。135.標準草案，2015年11月24日，信安標委秘書處專家評審，形成征求意見稿136.標準是對云服務商的能力進行評估，還是對云服務或者云計算平臺進行評估。建議卿斯?jié)h閔京華采納。標準定位為對云服務商 在提供云計算服務時所具備 的安全能力進行評估。序號標準章條編號意見內(nèi)容提出單位處理意見備注明確標準的定位。137.已發(fā)布的國家標準中，如果已有相關測試用例的，可在本標準中注明。顧建國采納。138.如果本標準中只是少量引用了別的標準內(nèi) 容，可以直接在本標準中寫，如果本標準 中大量引用了別的標準內(nèi)容，可以在引

37、用 處給出原標準的章節(jié)號，不直接寫內(nèi)容。顧建國采納。139.引言“政府部門應對擬遷移至云計算平臺的信 息和業(yè)務進行分析，按照信息的敏感程度 和業(yè)務的重要程度選擇相應安全能力水平 的云服務商。gb/t31167 2014信息安全 技術云計算服務安全指南給出了信息、賈穎禾宿忠民顧建國采納。序號標準章條編號意見內(nèi)容提出單位處理意見備注業(yè)務類型與安全保護要求之間的對應關系”的描述與本標準關系不大，建議刪除。140.4.4建議增加對評估結果的定性的描述。顧建國采納。141.6.13對有些云服務商能力的評估只通過檢查就 可以了，不需要測試；對有些云服務商能 力的評估還需要測試，虛擬化測試技術還 不成熟。卿

38、斯?jié)h采納。在4.1評估原則中的“可 重用”原則，對于已有的測試 評估結果可在適用時予以采 信。虛擬化測試技術尚不成 熟，在本標準中先行提出該項 標準條款需要測試，后續(xù)可通 過制相關標準、技術研究等 方式進一步補充。142.標準征求意見稿，2016年6月，大數(shù)據(jù)安全特別工作組征求意見143.術語標準的術語應參照最近發(fā)表的國標gb/t32400-2015云計算詞匯與概述ibm木夕7納。該標準為基于gb/t31168-2014的評估標準，術語沿用 gb/t31168-2014和序號標準章條編號意見內(nèi)容提出單位處理意見備注gb/t31167-2014.144.角色定義標準的角色定義應參照最近發(fā)表的國標gb/t32399-2015云計算參考架構ibm木夕7納。該標準為基于gb/t31168-2014的評估標準，術語沿用 gb/t31168-2014和gb/t31167-2014.145.4.2評估內(nèi)容第一段中“風險評估和持續(xù)監(jiān)控”應改為 “風險評估與持續(xù)監(jiān)控”，與能力要求標 準保持一致。國家信息技人安全研究中心采納。146.4.4刪除“在云服務商通過安全評估后，并與 客戶簽訂合同提供服務時，第三方評估機 構也可按照相關規(guī)定、客戶委托或其它情 況積極參與和配合運行監(jiān)管工作，具體實中國信息安全測評中心部分采納。此部分的確屬于云持續(xù)監(jiān)督的工作，在評估內(nèi)容、評估方法和評估流程上可能會不