《信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法》

1、意見匯總處理表標(biāo)準(zhǔn)項(xiàng)目名稱：信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法承辦人：王惠蒞共23頁(yè)標(biāo)準(zhǔn)項(xiàng)目負(fù)責(zé)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院電話：12016年6月13日填寫序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注標(biāo)準(zhǔn)草案，2015年5月20日發(fā)編制組內(nèi)部征求意見1.依據(jù)當(dāng)前評(píng)估條目的適用性， 提取共性項(xiàng)，對(duì)僅適用于特殊場(chǎng)景下的評(píng)估點(diǎn)標(biāo)注其使用建議，或單獨(dú)章節(jié)形成特定測(cè)評(píng)點(diǎn)要求。cetc30所未采納。對(duì)服務(wù)類型進(jìn)行區(qū)分超出本標(biāo)準(zhǔn)的氾圍。2.當(dāng)前稿中涉及的角色稱謂名稱較多，各稱 謂代表的對(duì)象范疇沒(méi)有明示，容易混淆， 比如用戶、客戶、租戶之間的差異。修改建議：對(duì)用戶、租戶、客戶、外部人cetc30所未

2、米納。按照能力要求相關(guān)規(guī)定。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注員、特權(quán)用戶、特權(quán)賬戶等各稱謂明確含義范疇，規(guī)范其使用。3.1建議將“對(duì)以社會(huì)化方式”去掉阿里云計(jì)算有限公司未采納。與能力要求保持t。4.4.1綜合考慮原則不是原則，可重復(fù)和可充用、 可再現(xiàn)比較理想，比較難實(shí)現(xiàn)。中國(guó)信息安全測(cè)評(píng)中心部分采納。5.4.1建議改為“采用或參考其已有的公正第三方的測(cè)評(píng)結(jié)果”。阿里云計(jì)算有限公司部分采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注6.4.1建議改為“靈活是指在對(duì)女服務(wù)商進(jìn)行安全控制措施裁剪、替換等情況卜，”阿里云計(jì)算有限公司未米納。應(yīng)是由石服方冏裁剪、替換安全控制措施等。7.4.

3、2增加相應(yīng)章十，1、描述安全評(píng)估系統(tǒng)要求，安全配件要求。成都大學(xué)未采納。本標(biāo)準(zhǔn)只規(guī)范評(píng)估方法，不涉及評(píng)估系統(tǒng)。8.建議修改格式，“涉及”格式為斜體國(guó)家信息技人安全研究中心采納。9.5.3.1a)修改建議：檢查云服務(wù)商是否定義系統(tǒng)生命周期、并定義生命周期各節(jié)點(diǎn)及特征；西安未來(lái)國(guó)際有限公司未采納。系統(tǒng)生命周期定義可參考已有國(guó)標(biāo)。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注10.5.4.2f)修改建議：檢查開發(fā)商提供的說(shuō)明文檔是否啟對(duì)功 能、端口、協(xié)議和服務(wù)的詳細(xì)說(shuō)明，并列 出不必要和高風(fēng)險(xiǎn)的功能、端口、協(xié)議或 服務(wù)，并查看是否已禁用。tfff|a采納。四女木木國(guó)際有限公司11.修改建議：測(cè)試應(yīng)用信

4、息系統(tǒng)設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)和修改過(guò)程中的機(jī)制，是否實(shí)現(xiàn)自動(dòng)化機(jī)制。國(guó)家信息技人安全研究中心未米納。能力要求不涉及自動(dòng)化機(jī)制12.5.9.2b)將“得”改為“的”國(guó)家信息技人安全研究中心采納。13.5.10.2c)修改建議：國(guó)家信息采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注5.10.2f)增加句號(hào)。技木安全研究中心14.5.11.1a）評(píng)估方法修改建議：測(cè)試系統(tǒng)、組件或服務(wù)的在設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)、運(yùn)行過(guò)程中的配置管理方式，是否實(shí)現(xiàn)自動(dòng)化管理。國(guó)家信息技人安全研究中心未米納。15.5.12.2a)修改建議：檢查開發(fā)階段所使用的靜態(tài)代碼分析工具配置；西安未來(lái)國(guó)際有限公司部分采納。16.5.12.2

5、e)修改建議：檢查開發(fā)商的滲透性測(cè)試相關(guān)文檔（測(cè)試計(jì)劃、測(cè)試報(bào)告）西安未來(lái)國(guó)際有限公司未采納。只看報(bào)告就能體現(xiàn)。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注17.6.2.1b）評(píng)估方法是否對(duì)外公開的組件與內(nèi)部網(wǎng)絡(luò)劃分為不同的子網(wǎng)絡(luò)，阿里云計(jì)算有限公司采納。18.6.2.2a）評(píng)估方法搭建物理獨(dú)立的計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池阿里云計(jì)算有限公司未米納。同能力要求描述方式。19.6.2.2b)測(cè)試是否具有對(duì)大規(guī)模攻擊流量進(jìn)行清洗或防護(hù)的能力。阿里云計(jì)算有限公司卡米納。原評(píng)估方法中已經(jīng)包含此內(nèi)容。20.6.2.2d)檢查外部通信接口授權(quán)審批策略；西安未來(lái)國(guó)際有限公司采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)

6、容提出單位處理意見備注21.檢查安全計(jì)劃書、安全設(shè)計(jì)文檔，是 否使用符合國(guó)家密碼管理法律法規(guī)的通信 加密和簽名驗(yàn)簽算法及設(shè)施，是否有國(guó)家 密碼管理局認(rèn)定測(cè)評(píng)機(jī)構(gòu)出具的檢測(cè)報(bào)告 或證書。測(cè)試云服務(wù)商所使用到的通信加密和 簽名驗(yàn)簽設(shè)施是否與設(shè)計(jì)文檔要求* 致；cetc30所采納。22.建議收斂測(cè)試方法，因密碼設(shè)備測(cè)試認(rèn)可 有一套嚴(yán)格管理規(guī)定，建議以審查相關(guān)權(quán) 威機(jī)構(gòu)發(fā)放的認(rèn)可證書為準(zhǔn)。（具體需要 進(jìn)一步落實(shí)國(guó)家密碼管理局、涉密信息系cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注統(tǒng)相關(guān)管理規(guī)定）。23.修改建議：增加-測(cè)試云計(jì)算平臺(tái)用戶和系統(tǒng)安全功能之間是否建立了一條可信的通信路徑

7、。cetc30所采納。24.6.8.2b)修改建議：驗(yàn)證禁止自動(dòng)執(zhí)行機(jī)制是否啟效；西安未來(lái)國(guó)際有限公司采納。云服務(wù)的云服務(wù)管理平 臺(tái)難于驗(yàn)證。25.修改建議：對(duì)6.11.1c）的評(píng)估方法增加-在網(wǎng)絡(luò)出入口以及系統(tǒng)中的主機(jī)、移動(dòng) 計(jì)算設(shè)備上放置一段惡意代碼，測(cè)試防護(hù)cetc30所未采納。原評(píng)估方法已包括該 內(nèi)容。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注措施是否能夠檢測(cè)并予以響應(yīng)。26.6.11.2b)修改建議：檢查惡意代碼自動(dòng)更新記錄，包含版本信息、更新時(shí)間等；西安未來(lái)國(guó)際有限公司采納。27.6.12.2 . 2修改建議：-測(cè)試非授權(quán)代碼是否能夠執(zhí)行；cetc30所采納。28.修改建議：對(duì)6

8、.13.1b）的評(píng)估方法第三條文字修改 為：測(cè)試當(dāng)虛擬機(jī)鏡像文件被惡意篡 改時(shí)，是否有完整性校驗(yàn)機(jī)制能夠防止對(duì) 鏡像文件的惡意篡改。cetc30所/張玲采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注29.6.13.1b)對(duì)6.13.1b）的評(píng)估方法第四條修改建議：對(duì)6.13.1b）的評(píng)估方法第四條文字修改：測(cè)試已經(jīng)被一臺(tái)虛擬機(jī)掛載的邏輯卷是否能夠被其它虛擬機(jī)掛載。cetc30所/張玲采納。30.6.13.1c)對(duì)6.13.1c）的評(píng)估方法第四條文字修改 為：檢查安全計(jì)劃書、信息系統(tǒng)架構(gòu)設(shè)計(jì) 文檔、或其他相關(guān)文檔是否提供虛擬機(jī)只 能訪問(wèn)分配給該虛擬機(jī)的物理磁盤的技術(shù) 機(jī)制；cetc30所采納

9、。31.6.13.1c)修改建議：cetc30采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注的評(píng)估方法為第五條和第六條建議刪除。所32.6.13.1d)修改建議：對(duì)6.13.1d）的評(píng)估方法為第二條建議刪除。cetc30所采納。33.6.13.2d)對(duì)6.13.2d）的評(píng)估方法第三條：修改建議：對(duì)6.13.2d）的評(píng)估方法第三條：修改為在物理機(jī)操作系統(tǒng)上讀取虛擬機(jī)鏡像文件，查看是否進(jìn)行加密保護(hù)；cetc30所部分采納。34.6.13.2d)修改建議：6.13.2d）的評(píng)估方法第四條刪除。cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注35.6.14.1a)修改建議：對(duì)6.1

10、4.1a）的第二條評(píng)估方法修改為：檢查虛擬網(wǎng)絡(luò)資源實(shí)際配置是否 與文檔中規(guī)定的網(wǎng)絡(luò)隔離和訪問(wèn)控制策略 相符；對(duì)虛擬網(wǎng)絡(luò)資源進(jìn)行數(shù)據(jù)訪問(wèn)或 網(wǎng)絡(luò)掃描，測(cè)試網(wǎng)絡(luò)隔離和訪問(wèn)控制措施 是否生效。cetc30所采納。36.6.14.1b)修改建議：第二條與第三條建議合并，并修改文字。對(duì)6.14.1b）的評(píng)估方法修改為：檢查安全計(jì)劃書、信息系統(tǒng)架構(gòu)cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注設(shè)計(jì)文檔、或其他相關(guān)文檔是否為訪問(wèn)玄 服務(wù)的網(wǎng)絡(luò)和內(nèi)部管理云的網(wǎng)絡(luò)之間采取 隔離和訪問(wèn)控制措施；檢查實(shí)際的網(wǎng)絡(luò)資源配置是否與 文檔所規(guī)定的網(wǎng)絡(luò)隔離和訪問(wèn)控制策略相 符。在訪問(wèn)云服務(wù)的網(wǎng)絡(luò)和內(nèi)部管理云

11、的 網(wǎng)絡(luò)之間嘗試進(jìn)行數(shù)據(jù)交互或是網(wǎng)絡(luò)掃 描，檢測(cè)網(wǎng)絡(luò)間的隔離和訪問(wèn)控制措施是 否生效。37.6.15.1c)第三條和第四條為第二條的測(cè)試用例和場(chǎng) 景，放在這里過(guò)細(xì)。建議刪除，并對(duì)第二cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注條進(jìn)行文字修改。修改建議：對(duì)6.15.1c）的評(píng)估方法為：檢查安全計(jì)劃書、信息系統(tǒng)架構(gòu) 設(shè)計(jì)文檔、或其他相關(guān)文檔，是否對(duì)不同 客戶所使用的虛擬存儲(chǔ)資源之間有邏輯隔 離的機(jī)制。測(cè)試客戶是否無(wú)法發(fā)現(xiàn)并訪問(wèn)其他客 戶所使用的存儲(chǔ)資源，客戶間的存儲(chǔ)資源 訪問(wèn)性能是否相互影響。38.6.15.1d)對(duì)6.15.1d）的評(píng)估方法的第三條和第四條內(nèi)容重復(fù)。建議合并c

12、etc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注修改建議：對(duì)6.15.1d）的評(píng)估方法第三條和第四條修 改為：在租戶解除存儲(chǔ)資源的使用后， 例如釋放存儲(chǔ)空間、虛擬機(jī)遷移或刪除等， 檢測(cè)原物理存儲(chǔ)資源上的數(shù)據(jù)（如鏡像文 件、快照文件、備份文件等數(shù)）是否被清 除。39.6.15.1e)修改建議：對(duì)6.15.1e）的評(píng)估方法第二條修改為：模擬虛擬存儲(chǔ)數(shù)據(jù)的常規(guī)操作和異常操作，檢測(cè)是否有審計(jì)記錄，審計(jì)記錄信cetc30所未采納。標(biāo)準(zhǔn)是宏觀共性的評(píng) 估方法，不涉及具體用例。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注息要素是否完備，審計(jì)記錄是否不能被修改和刪除。40.6.15.2a)修改建

13、議：對(duì)6.15.2a）的評(píng)估方法第二條修改為：檢查存儲(chǔ)協(xié)議級(jí)數(shù)據(jù)訪問(wèn)授權(quán)策 略配置信息是否與義檔規(guī)定的授權(quán)機(jī)制相 符；以非授權(quán)用戶或方式進(jìn)行存儲(chǔ)協(xié) 議級(jí)數(shù)據(jù)訪問(wèn)，測(cè)試是否成功。cetc30所采納。41.6.15.2b)修改建議：對(duì)6.15.2b）的評(píng)估方法修改為檢查安全計(jì)劃書、信息系統(tǒng)架構(gòu)設(shè)計(jì)cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注文檔、或其他相關(guān)文檔，檢查或分析是否 提供了 一定機(jī)制以便客戶部署滿足國(guó)家密 碼管理規(guī)定的數(shù)據(jù)加密方案用以保護(hù)客戶 的私有數(shù)據(jù)。42.e)修改建議：e）的評(píng)估方法為修改為：在賦值：云服務(wù)商定義的時(shí)間 段用戶處于不活動(dòng)狀態(tài)，測(cè)試該用戶是否 被禁

14、止使用。cetc30所采納。43.b)修改建議：b）的評(píng)估方法為第一條：檢查訪問(wèn)腳本是否包含未加密的靜態(tài)cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注鑒別憑證。44.c)修改建議：c）的評(píng)估方法為第二條修改為：查看接收記錄，當(dāng)接收憑證時(shí)是否經(jīng) 過(guò)本人或可信第三方確認(rèn)。cetc30所采納。45.7.8.1a)檢查賬號(hào)管理員角色是否與自然人綁定、責(zé)任明確；西安未來(lái)國(guó)際有限公司未采納。評(píng)估方法按照能力 要求的評(píng)估內(nèi)容來(lái)定。46.修改建議：b）的評(píng)估方法為：檢查遠(yuǎn)程訪問(wèn)會(huì)話是否采取相關(guān)密碼機(jī)制保證遠(yuǎn)程會(huì)話的機(jī)密性和完整cetc30所采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注性

15、。利用網(wǎng)絡(luò)抓包等技術(shù)手段測(cè)試會(huì)話數(shù)據(jù)是否進(jìn)行了加密保護(hù)。47.7.21.1a)檢查是否列出了何種情況可以授權(quán)外部訪問(wèn)云平臺(tái)；西安未來(lái)國(guó)際有限公司采納。48.b)檢查是否列出了何種情況可以授權(quán)外部訪 問(wèn)對(duì)云計(jì)算平臺(tái)上的信息進(jìn)行處理、存儲(chǔ) 或存儲(chǔ)；西安未來(lái)國(guó)際有限公司采納。49.)檢查配置管理計(jì)劃的保護(hù)措施是否可以防止非授權(quán)的泄露和變更。西安未來(lái)國(guó)際有限公司采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注50.8.4.2.b檢查云計(jì)算平臺(tái)相關(guān)設(shè)備系統(tǒng)的日志、配 置記錄等信息，證明對(duì)云計(jì)算平臺(tái)上的變 更實(shí)施物理和邏輯訪問(wèn)控制；西安未來(lái)國(guó)際有限公司未采納。原評(píng)估方法已經(jīng)包含 了此內(nèi)容。51.8.5.

16、2.a設(shè)置測(cè)試用例測(cè)試自動(dòng)機(jī)制可以有效地對(duì) 配置參數(shù)進(jìn)行集中管理、應(yīng)用和驗(yàn)證的功 能。西安未來(lái)國(guó)際有限公司未采納。原評(píng)估方法已經(jīng)包含 了此內(nèi)容。52.8.6.1.a將云計(jì)算平臺(tái)必需功能對(duì)應(yīng)的驗(yàn)收?qǐng)?bào)告、功能白皮書等說(shuō)明文檔與云平臺(tái)現(xiàn)有配置 進(jìn)行比對(duì)，證明對(duì)云計(jì)算平臺(tái)按照僅提供 必需功能進(jìn)行配置。西安未來(lái)國(guó)際有限公司未采納。云計(jì)算平臺(tái)配置非常 繁雜，驗(yàn)證難以實(shí)現(xiàn)。53.e檢查是否啟強(qiáng)制手段確保在遠(yuǎn)程維護(hù)完成后是否終止會(huì)話和網(wǎng)絡(luò)連接。西安未來(lái)國(guó)際有限未采納。不強(qiáng)調(diào)使用強(qiáng)制手 段。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注公司54.檢查是否建立備品備件列表并對(duì)備件進(jìn)行抽樣檢測(cè)確保具可用性。西安未來(lái)國(guó)

17、際有限公司部分采納。55.a檢查應(yīng)急響應(yīng)計(jì)劃文檔，查看其是否包含 了容量規(guī)劃的內(nèi)容；檢查容量規(guī)劃文檔是 否明確了必要的信息處理容量、通信容量 和環(huán)境支持能力。西安未來(lái)國(guó)際有限公司未采納。原評(píng)估方法已體現(xiàn)。56.檢查異地系統(tǒng)級(jí)熱備設(shè)計(jì)文檔、管理平臺(tái)，對(duì)熱備設(shè)施進(jìn)行測(cè)試驗(yàn)證是否按照云服務(wù)商定義的頻率對(duì)系統(tǒng)級(jí)信息進(jìn)行增量備份，是否按照女服務(wù)商定義的頻率對(duì)系統(tǒng)西安未來(lái)國(guó)際有限公司部分采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注級(jí)信息進(jìn)行全量備份。57.a)檢查實(shí)際的脆弱性掃描工具，查看其西安未來(lái)是否開啟了自動(dòng)升級(jí)功能，當(dāng)前使用漏洞國(guó)際有限部分采納。庫(kù)的發(fā)布時(shí)間、版本。公司58.c)檢查風(fēng)險(xiǎn)評(píng)估和

18、持續(xù)監(jiān)控策略，是否西安未來(lái)明確定義了脆弱性掃描額廣度和深度；國(guó)際有限檢查脆弱性掃描工具掃描策略，所定公司義的掃描廣度和深度是否滿足系統(tǒng)風(fēng)險(xiǎn)評(píng)未采納。評(píng)估方法按照能力估安全策略要求。要求的評(píng)估內(nèi)容來(lái)定。檢查脆弱性掃描歷史結(jié)果，核查掃描使用的策略是否滿足系統(tǒng)風(fēng)險(xiǎn)評(píng)估安全策略要求。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注59.a)檢查管理垃圾信息機(jī)制是否有集中管控的手段。檢查管理垃圾信息機(jī)制集中管控的手段是否啟效。西安未來(lái)國(guó)際有限公司采納。60.b)檢查管理垃圾信息機(jī)制是否有自動(dòng)升級(jí)功能。檢查管理垃圾信息機(jī)制歷史升級(jí)記錄。西安未來(lái)國(guó)際有限公司采納。標(biāo)準(zhǔn)草案，2015年6月11日，信安標(biāo)委秘書處中

19、期檢查61.建議評(píng)估方法能夠細(xì)化，能夠支撐gb/t3116潴地。顧建國(guó)張建軍左曉棟采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注62.建議圍繞落實(shí)gb/t31168附件中系統(tǒng)安全計(jì)劃模版編制。張建軍采納。63.應(yīng)增強(qiáng)訪談方法的應(yīng)用。杜虹采納。64.術(shù)語(yǔ)應(yīng)統(tǒng)一。杜虹卿斯?jié)h采納。65.在具體標(biāo)準(zhǔn)項(xiàng)評(píng)估方法中，應(yīng)將訪談、檢查、測(cè)試分開。左曉棟采納。66.能否將iaas、paas saass行分類。左曉棟木夕y土內(nèi)。不ze本標(biāo)準(zhǔn)的氾圍。67.建議將標(biāo)準(zhǔn)英乂名稱assessment改為evaluation 。崔書昆未采納。參照gb/t25069的術(shù)語(yǔ)。68.引言建議引言的第一段刪掉。馮惠采納。序號(hào)標(biāo)

20、準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注69.建議增加整體框圖卿斯?jié)h未采納。評(píng)估階段的劃分比較 簡(jiǎn)單，描述即較容易理解。70.2規(guī)范性引用文件添加 gb/t25069馮惠采納。71.4.2明確評(píng)估依據(jù)，評(píng)估內(nèi)容等，應(yīng)與第五章有對(duì)應(yīng)馮惠采納。標(biāo)準(zhǔn)草案，2015年7月30日，信安標(biāo)委秘書處專家評(píng)審72.這個(gè)標(biāo)準(zhǔn)本身是標(biāo)準(zhǔn)符合性測(cè)試，是過(guò)程 導(dǎo)向的。但是審查是結(jié)果導(dǎo)向的，如果按 照這個(gè)審，不容易審出來(lái)。李京春部分采納。標(biāo)準(zhǔn)給出針對(duì)能 力要求的對(duì)應(yīng)評(píng)估方法，審 查時(shí)可參考，并按照相關(guān)規(guī)定 審查。73.標(biāo)準(zhǔn)中有的有一般要求，有的沒(méi)有一般要 求，有的有增強(qiáng)，有的沒(méi)有增強(qiáng)，這樣很 舌例如：防篡改，沒(méi)有一要求，

21、可評(píng)李京春未米納。本標(biāo)準(zhǔn)是能力要求 的配套標(biāo)準(zhǔn)，一般要求和增強(qiáng) 要求與原標(biāo)準(zhǔn)保持一致。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注估時(shí)沒(méi)有一般項(xiàng)要求不合適。因此，一般 要求即使原標(biāo)準(zhǔn)中沒(méi)有要求，評(píng)估中也應(yīng) 該有。增強(qiáng)的可以沒(méi)有。74.在法律上有的，在標(biāo)準(zhǔn)中應(yīng)該體現(xiàn)。李京春采納。75.后續(xù)持續(xù)監(jiān)督的內(nèi)容是否要在本標(biāo)準(zhǔn)中體現(xiàn)；李京春采納。76.如何判斷，如何給出判據(jù)，如何打分，是 個(gè)很重要的問(wèn)題；而且評(píng)估是提高云服務(wù) 商的安全能力，應(yīng)該讓云服務(wù)商來(lái)了解怎 么做是符合要求的。杜虹部分采納。77.評(píng)估方法應(yīng)跟能力要求協(xié)部送，如果原標(biāo)準(zhǔn)有錯(cuò)誤，這個(gè)改正，但要聲明。崔書昆采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出

22、單位處理意見備注78.這個(gè)標(biāo)準(zhǔn)可以用于審查，但目前這個(gè)標(biāo)準(zhǔn)不能和審查緊相關(guān)。崔書昆采納。79.現(xiàn)在很多地方政府都在做云，應(yīng)該讓他們 知道這個(gè)事，去試用這個(gè)標(biāo)準(zhǔn)。崔書昆采納。80.全篇的括號(hào)格式未統(tǒng)一，31168用的是中文括號(hào)，本標(biāo)準(zhǔn)新增內(nèi)容用的是英文括號(hào)左曉棟采納。81.標(biāo)題建議考慮 assessment 和 evaluation 。崔書昆采納。82.1特定用戶、社會(huì)化，要么增加術(shù)語(yǔ)定義，要么不用。肖京華崔書昆陳興蜀采納，修改“范圍”。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注閔京華83.4.1可重用是指在適用的情況下，對(duì)云計(jì)算平 臺(tái)中采購(gòu)的商業(yè)現(xiàn)貨產(chǎn)品采用或參考其已 有的測(cè)評(píng)結(jié)果。語(yǔ)法不太

23、妥。止匕外，不僅 僅是可重用對(duì)現(xiàn)貨產(chǎn)品的測(cè)評(píng)結(jié)果，對(duì)于 同一服務(wù)商的平臺(tái)，還有很多測(cè)評(píng)結(jié)果可 以重用，例如服務(wù)商自身的信息安全體系 等。左曉棟采納。84.4.1保密原則是指測(cè)評(píng)人員應(yīng)對(duì)涉及云服務(wù)商 利益的商業(yè)信息嚴(yán)格保密。還有很多信息 也要保密。例如云平臺(tái)上已有的信息，例 如第三方的信息。左曉棟采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注85.4增加描述，將是按照一般要求還是按照增 強(qiáng)要求等來(lái)進(jìn)行安全評(píng)估與前面的能力 要求、指南等聯(lián)系起來(lái)。杜虹采納。86.4關(guān)于一般和增強(qiáng)，如果能力要求中有，可 拿過(guò)來(lái)。評(píng)估的內(nèi)容，根據(jù)不同的對(duì)象， 分為兩級(jí),一般和增強(qiáng)，在評(píng)估方法中， 應(yīng)該有句話來(lái)說(shuō)明，

24、評(píng)估為一能型口增 強(qiáng)能力。崔書昆采納。87.4在具體應(yīng)用三種評(píng)估方法中， 應(yīng)組合應(yīng)用，可增加這么一句話。杜虹采納。88.4評(píng)估實(shí)施過(guò)程最好畫張圖。卿斯?jié)h崔書昆采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注89.第5章到第14章標(biāo)題同能力要求相似，建議增加“評(píng)估方法”左曉棟采納。90.檢查規(guī)劃文檔、設(shè)計(jì)文檔、實(shí)施義檔、 運(yùn)維文檔等相關(guān)義檔，查看其是否有信息 安全風(fēng)險(xiǎn)管理內(nèi)容；增加“查看其是否包 含風(fēng)險(xiǎn)評(píng)估報(bào)告”。左曉棟采納。91.建議進(jìn)步查看女服務(wù)商是否有技術(shù)措施限制協(xié)同設(shè)備插入左曉棟采納。92.要有測(cè)試，針對(duì)這項(xiàng)要求還應(yīng)制定一批測(cè)試用例。左曉棟采納。93.)要有測(cè)試左曉棟采納。序號(hào)標(biāo)準(zhǔn)章條

25、編號(hào)意見內(nèi)容提出單位處理意見備注94.虛擬化的測(cè)試是個(gè)難點(diǎn)。標(biāo)準(zhǔn)中寫到 什么程度？不好把握，建議大家討論。也 可以原則些。但如能更加明確，則更好。左曉棟采納。95.應(yīng)該先檢查云服務(wù)商是怎么定義用戶 的。定義了哪些用戶？什么角色？如何管 理？對(duì)女平臺(tái)而百，“用戶”和“管理員” 復(fù)雜化了。例如，女平臺(tái)運(yùn)營(yíng)者本身有“用 戶”和“管理員”的概念，而客戶在使用 云時(shí)，也有“用戶”和“管理員”的概念。 csp應(yīng)該把這些說(shuō)清楚。左曉棟采納。96.7本章中的很多要求，要借助“測(cè)試”左曉棟采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注來(lái)驗(yàn)證，建議梳理本章（及其他可能的章 節(jié)）中的“檢查”用語(yǔ)。該改為“測(cè)試”

26、 的就測(cè)試，該增加“測(cè)試”的要增加評(píng)估 方法。97.現(xiàn)在這個(gè)標(biāo)準(zhǔn)應(yīng)與能力要求緊相關(guān)，增加經(jīng)受文獻(xiàn)。崔書昆采納。標(biāo)準(zhǔn)草案，2015年8月至2015年9月，標(biāo)準(zhǔn)試用及審查辦意見98.引言第二段標(biāo)準(zhǔn)用途表述不充分，建議調(diào)整結(jié)構(gòu)。國(guó)家信息技人安全研究中心采納。99.全文參考能力要求和指南，統(tǒng)一本標(biāo)中國(guó)信息采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注準(zhǔn)中人員名稱和文檔名稱安全測(cè)評(píng)中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院100.3.2定義中只出現(xiàn)了云計(jì)算服務(wù)，并未定義云 服務(wù)，但是正文中多次提到云服務(wù)。建議 定義云服務(wù)，可明確指出云計(jì)算服務(wù)可簡(jiǎn) 稱云服務(wù)，或?qū)⒄闹械脑品?wù)統(tǒng)一改為 云計(jì)算服務(wù)審查辦采納。101

27、.3定義和能力要求標(biāo)準(zhǔn)一樣，未針對(duì)本標(biāo)準(zhǔn)相關(guān)參與方和活動(dòng)進(jìn)行定義，如在審查辦采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注4.1、4.2出現(xiàn)評(píng)估工作和評(píng)估人員等內(nèi)容， 在3中無(wú)定義。建議在3術(shù)語(yǔ)和定義中增 加評(píng)估相關(guān)人員或活動(dòng)的定義。102.4對(duì)現(xiàn)場(chǎng)評(píng)估的描述中缺少測(cè)試的相關(guān)內(nèi)容。建議增加測(cè)試相應(yīng)內(nèi)容。審查辦采納。103.4.1靈活原則描述缺少主語(yǔ)，建議增加主語(yǔ)。國(guó)家信息技人安全研究中心采納。104.4.1“最大程度減少對(duì)云服務(wù)商的風(fēng)險(xiǎn)”，減 少描述不妥當(dāng)，建議改為降低。國(guó)家信息技人安全研究中心采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注105.4.5標(biāo)準(zhǔn)存在第三方機(jī)構(gòu)、第三方評(píng)估機(jī)

28、構(gòu)說(shuō)法，不夠統(tǒng)一。國(guó)家信息技人安全研究中心采納。106.4.5評(píng)估實(shí)施過(guò)程描述過(guò)于簡(jiǎn)單，無(wú)法較好的 指導(dǎo)實(shí)施。在評(píng)估過(guò)程中，溝通需提供的 證據(jù)很重要。細(xì)化評(píng)估實(shí)施過(guò)程，增加溝 通需提供證據(jù)的內(nèi)容。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納。107.系統(tǒng)開發(fā)與供應(yīng)鏈安全策略和規(guī)程、系統(tǒng) 開發(fā)與供應(yīng)鏈安全策略與規(guī)程等說(shuō)法不統(tǒng) 一，很多這樣的情況。國(guó)家信息技人安全研究中心采納。108.對(duì)b）的評(píng)估方法兩個(gè)“工作計(jì)劃和預(yù)算文件中”，存在重復(fù)。國(guó)家信息技人安全采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注研究中心109.a的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)錯(cuò)誤 “。”，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。110.b

29、的評(píng)估方法里面存在標(biāo)點(diǎn)符號(hào)錯(cuò)誤，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。111.對(duì)b） d）的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)” 錯(cuò)誤，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。112.對(duì)j ）的評(píng)估方法存在標(biāo)點(diǎn)符號(hào) 一錯(cuò)誤，國(guó)家信息采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注建議修改為分號(hào)。技木安全研究中心113.d) e)的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)”錯(cuò)誤，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。114.c)的評(píng)估方法為：(1)檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī) 程等相關(guān)文檔，查看其是否定義了在云服 務(wù)商定義的頻率或女服務(wù)商定義的情況 下，需檢測(cè)是否受到篡改的信息系統(tǒng)、組 件或設(shè)備；語(yǔ)句

30、不通順，后面多一個(gè)“是 否”國(guó)家信息技人安全研究中心采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注(2)檢查檢測(cè)篡改的記錄，查看女服務(wù)商 是對(duì)所定義的信息系統(tǒng)、組件或設(shè)備按照 要求實(shí)施了篡改檢測(cè)。語(yǔ)句不通順，缺少 一個(gè)否。115.e)的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)”錯(cuò)誤，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。116.5.15.2.2b )檢查才艮告js品組件的記錄等相關(guān) 文檔，查看其是否按照要求報(bào)告；訪談所定義的人員和角色等相關(guān) 人員，詢問(wèn)其js品組件報(bào)告情況。應(yīng)先訪談是否白鷹品組件，然后再檢中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注查。117.c）的評(píng)估方

31、法中，訪談無(wú)法實(shí)現(xiàn)“查看其”內(nèi)容。國(guó)家信息技人安全研究中心采納。118.d）的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)“；”錯(cuò)誤，建議修改為句號(hào)。國(guó)家信息技人安全研究中心采納。119.f）的評(píng)估方法，訪談中多一個(gè)保護(hù)。國(guó)家信息技人安全研究中心采納。120.g）的訪談內(nèi)容語(yǔ)句不通順，“詢問(wèn)具確認(rèn)國(guó)家信息采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注所收到的信息系統(tǒng)或組件真實(shí)且未被改動(dòng)的保護(hù)措施實(shí)施情況”。技木安全研究中心121.g）缺乏對(duì)保護(hù)措施的檢查。建議：檢查所定義的對(duì)所收到的信息系統(tǒng)或組件真實(shí)且未被改動(dòng)的保護(hù)措 施的確認(rèn)記錄等相關(guān)文檔，查看云服務(wù)商是否按規(guī)定實(shí)施了保護(hù)措施；中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納。1

32、22.對(duì)h）的評(píng)估方法存在標(biāo)點(diǎn)符號(hào)”錯(cuò)誤，建議修改為分號(hào)。國(guó)家信息技人安全研究中心采納。123.mj）有可能女服務(wù)冏還沒(méi)啟艾更過(guò)供應(yīng)商， 因此，應(yīng)該先訪談，如果的確后變更，再中國(guó)電子技術(shù)標(biāo)準(zhǔn)采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注檢查變更的風(fēng)險(xiǎn)控制措施實(shí)施情況?；芯吭?24.測(cè)試不同客戶或同一用戶不同業(yè)國(guó)家信息6.2.2.2i)務(wù)信息系統(tǒng)之間的隔離機(jī)制，驗(yàn)證隔離機(jī)技木安全采納。制是否后效。研究中心125.測(cè)試云計(jì)算平臺(tái)中移動(dòng)代碼的限國(guó)家信息采納。制機(jī)制，驗(yàn)證具是否能夠?qū)σ苿?dòng)代碼的使技木安全用進(jìn)行限制。研究中心6.8.1.2只是寫“限制”是否要求偏低，如果有限制，但是限制不完善呢？可

33、否改為“驗(yàn)證具是否能夠?qū)σ苿?dòng)代碼的使用進(jìn)行合理限制?！毙蛱?hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注126.)檢查女計(jì)算平臺(tái)配置參數(shù)設(shè)置，查看其是否禁止自動(dòng)執(zhí)行移動(dòng)設(shè)備上代碼；”，該要求的評(píng)估方法中有測(cè)試，建議直接采用測(cè)試證據(jù)，不需要檢查配置了。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納。127.6.13.2.2b)檢查虛擬機(jī)跨物理機(jī)遷移過(guò)程中 的保護(hù)措施，查看其是否可以提供虛擬機(jī) 跨物理機(jī)遷移保護(hù)?！翱梢浴比サ魢?guó)家信息技人安全研究中心采納。128.6.14.1.2c )對(duì)c）的評(píng)估方法為：檢查虛擬化策略、系統(tǒng)設(shè)計(jì)說(shuō)明 書等相關(guān)義檔，查看其是否有對(duì)虛擬機(jī)的 網(wǎng)絡(luò)接口帶寬進(jìn)行管理的要求；國(guó)家信息技人安全研究中心

34、部分采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注檢查虛擬機(jī)的網(wǎng)絡(luò)接口帶寬管理 配置，查看其是否符合帶寬管理的要求。第一句：是否應(yīng)該改為查看對(duì)網(wǎng)絡(luò)帶 寬進(jìn)行管理的技術(shù)機(jī)制。第二句：是否應(yīng)該改為，測(cè)試帶寬管 理的技術(shù)機(jī)制是否有效？129.對(duì)a）的評(píng)估方法為：增加如下內(nèi)容：檢查配置管理計(jì)劃，查看其是否按照要求制定并實(shí)施了配置管理計(jì)劃。國(guó)家信息技人安全研究中心采納。130.對(duì)a）的評(píng)估方法改為：檢查配置管理策略與規(guī)程、配置管理計(jì)劃等相關(guān)文檔，查看其是否明確國(guó)家信息技人安全研究中心采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注了在系統(tǒng)受控配置列表中應(yīng)包含的云計(jì)算平臺(tái)的變更配置項(xiàng)；”131.對(duì)d

35、）的評(píng)估方法為：測(cè)試禁止非授權(quán)軟件運(yùn)行的機(jī) 制，查看是否具禁止了非授權(quán)軟件的運(yùn) 行?！辈煌槪涡蛐枰{(diào)整。國(guó)家信息技人安全研究中心采納。132.檢查及時(shí)維護(hù)策略及相關(guān)保障 措施，查看列表中的備品備件是否能在系 統(tǒng)組件發(fā)生故障的時(shí)間段內(nèi)投入運(yùn)性；” 錯(cuò)別字“運(yùn)性”。國(guó)家信息技人安全研究中心采納。133.對(duì)d）的評(píng)估方法改為：國(guó)家信息采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注 檢查應(yīng)急響應(yīng)計(jì)劃，查看其是 臺(tái)后在系統(tǒng)發(fā)生變更或事件響應(yīng)計(jì)劃在實(shí) 施、執(zhí)行或測(cè)試中遇到問(wèn)題時(shí)，及時(shí)修改 應(yīng)急響應(yīng)計(jì)劃的要求，查看其是否定義了 修改應(yīng)急響應(yīng)計(jì)劃后應(yīng)通報(bào)的人員、角色 胡b門；”技木安全研究中心134.

36、原文”詢問(wèn)所所定義機(jī)制的落實(shí)情況”修改為“詢問(wèn)所定義機(jī)制的落實(shí)情況”中國(guó)信息安全測(cè)評(píng)中心采納。135.標(biāo)準(zhǔn)草案，2015年11月24日，信安標(biāo)委秘書處專家評(píng)審，形成征求意見稿136.標(biāo)準(zhǔn)是對(duì)云服務(wù)商的能力進(jìn)行評(píng)估，還是對(duì)云服務(wù)或者云計(jì)算平臺(tái)進(jìn)行評(píng)估。建議卿斯?jié)h閔京華采納。標(biāo)準(zhǔn)定位為對(duì)云服務(wù)商 在提供云計(jì)算服務(wù)時(shí)所具備 的安全能力進(jìn)行評(píng)估。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注明確標(biāo)準(zhǔn)的定位。137.已發(fā)布的國(guó)家標(biāo)準(zhǔn)中，如果已有相關(guān)測(cè)試用例的，可在本標(biāo)準(zhǔn)中注明。顧建國(guó)采納。138.如果本標(biāo)準(zhǔn)中只是少量引用了別的標(biāo)準(zhǔn)內(nèi) 容，可以直接在本標(biāo)準(zhǔn)中寫，如果本標(biāo)準(zhǔn) 中大量引用了別的標(biāo)準(zhǔn)內(nèi)容，可以在引

37、用 處給出原標(biāo)準(zhǔn)的章節(jié)號(hào)，不直接寫內(nèi)容。顧建國(guó)采納。139.引言“政府部門應(yīng)對(duì)擬遷移至云計(jì)算平臺(tái)的信 息和業(yè)務(wù)進(jìn)行分析，按照信息的敏感程度 和業(yè)務(wù)的重要程度選擇相應(yīng)安全能力水平 的云服務(wù)商。gb/t31167 2014信息安全 技術(shù)云計(jì)算服務(wù)安全指南給出了信息、賈穎禾宿忠民顧建國(guó)采納。序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注業(yè)務(wù)類型與安全保護(hù)要求之間的對(duì)應(yīng)關(guān)系”的描述與本標(biāo)準(zhǔn)關(guān)系不大，建議刪除。140.4.4建議增加對(duì)評(píng)估結(jié)果的定性的描述。顧建國(guó)采納。141.6.13對(duì)有些云服務(wù)商能力的評(píng)估只通過(guò)檢查就 可以了，不需要測(cè)試；對(duì)有些云服務(wù)商能 力的評(píng)估還需要測(cè)試，虛擬化測(cè)試技術(shù)還 不成熟。卿

38、斯?jié)h采納。在4.1評(píng)估原則中的“可 重用”原則，對(duì)于已有的測(cè)試 評(píng)估結(jié)果可在適用時(shí)予以采 信。虛擬化測(cè)試技術(shù)尚不成 熟，在本標(biāo)準(zhǔn)中先行提出該項(xiàng) 標(biāo)準(zhǔn)條款需要測(cè)試，后續(xù)可通 過(guò)制相關(guān)標(biāo)準(zhǔn)、技術(shù)研究等 方式進(jìn)一步補(bǔ)充。142.標(biāo)準(zhǔn)征求意見稿，2016年6月，大數(shù)據(jù)安全特別工作組征求意見143.術(shù)語(yǔ)標(biāo)準(zhǔn)的術(shù)語(yǔ)應(yīng)參照最近發(fā)表的國(guó)標(biāo)gb/t32400-2015云計(jì)算詞匯與概述ibm木夕7納。該標(biāo)準(zhǔn)為基于gb/t31168-2014的評(píng)估標(biāo)準(zhǔn)，術(shù)語(yǔ)沿用 gb/t31168-2014和序號(hào)標(biāo)準(zhǔn)章條編號(hào)意見內(nèi)容提出單位處理意見備注gb/t31167-2014.144.角色定義標(biāo)準(zhǔn)的角色定義應(yīng)參照最近發(fā)表的國(guó)標(biāo)gb/t32399-2015云計(jì)算參考架構(gòu)ibm木夕7納。該標(biāo)準(zhǔn)為基于gb/t31168-2014的評(píng)估標(biāo)準(zhǔn)，術(shù)語(yǔ)沿用 gb/t31168-2014和gb/t31167-2014.145.4.2評(píng)估內(nèi)容第一段中“風(fēng)險(xiǎn)評(píng)估和持續(xù)監(jiān)控”應(yīng)改為 “風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控”，與能力要求標(biāo) 準(zhǔn)保持一致。國(guó)家信息技人安全研究中心采納。146.4.4刪除“在云服務(wù)商通過(guò)安全評(píng)估后，并與 客戶簽訂合同提供服務(wù)時(shí)，第三方評(píng)估機(jī) 構(gòu)也可按照相關(guān)規(guī)定、客戶委托或其它情 況積極參與和配合運(yùn)行監(jiān)管工作，具體實(shí)中國(guó)信息安全測(cè)評(píng)中心部分采納。此部分的確屬于云持續(xù)監(jiān)督的工作，在評(píng)估內(nèi)容、評(píng)估方法和評(píng)估流程上可能會(huì)不