本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术能力。适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。

《能力要求》提出的安全要求分为10类,分别是:

——系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信息,配合客户完成对信息系统和业务的管理。

——系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

——访问控制:云服务商应严格保护云计算平台的客户数据和用户隐私,在授权信息系统用户及其进程、设备(包括其他信息系统的设备)访问云计算平台之前,应对其进行身份标识及鉴别,并限制授权用户可执行的操作和使用的功能。

——配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。

——维护:云服务商应定期维护云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。

——应急响应与灾备:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析、控制、恢复等,对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力,建立必要的备份设施,确保客户业务可持续。

——审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的未授权访问、篡改和删除行为。

——风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。服务商应制定监控目标清单,对目标进行持续安全监控,并在异常和非授权情况发生时发出警报。

——安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其信息安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反信息安全规定的人员进行处罚。

——物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。