gb∕t 37972-2019 信息安全技术 云计算服务运行监管框架.pdf

书 书 书犐 犆犛３ ５． ０ ４ ０犔８ ０中 华 人 民 共 和 国 国 家 标 准犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９信息安全技术云计算服务运行监管框架犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔—犗狆 犲 狉 犪 狋 犻 狅 狀狊 狌 狆 犲 狉 狏 犻 狊 犻 狅 狀犳 狉 犪犿犲狑狅 狉 犽狅 犳犮 犾 狅 狌 犱犮 狅犿狆 狌 狋 犻 狀 犵狊 犲 狉 狏 犻 犮 犲２ ０ １ ９  ０ ８  ３ ０发布２ ０ ２ ０  ０ ３  ０ １实施国 家 市 场 监 督 管 理 总 局 中国国家标准化管理委员会发 布目 次前言Ⅰ………………………………………………………………………………………………………… 引言Ⅱ………………………………………………………………………………………………………… １ 范围１……………………………………………………………………………………………………… ２ 规范性引用文件１………………………………………………………………………………………… ３ 术语和定义１……………………………………………………………………………………………… ４ 云计算服务运行监管目的及框架１………………………………………………………………………４． １ 运行监管目的１………………………………………………………………………………………４． ２ 运行监管框架１………………………………………………………………………………………４． ３ 运行监管的角色及责任２…………………………………………………………………………… ５ 安全控制措施监管３………………………………………………………………………………………５． １ 安全控制措施内容３…………………………………………………………………………………５． ２ 安全控制措施监管环节３…………………………………………………………………………… ６ 变更管理监管３……………………………………………………………………………………………６． １ 变更管理内容３………………………………………………………………………………………６． ２ 变更管理监管环节４………………………………………………………………………………… ７ 应急响应监管４……………………………………………………………………………………………７． １ 应急响应内容４………………………………………………………………………………………７． ２ 应急响应监管环节４………………………………………………………………………………… ８ 云计算服务运行监管的实现方式４………………………………………………………………………８． １ 概述４…………………………………………………………………………………………………８． ２ 人工机制４……………………………………………………………………………………………８． ３ 自动机制５…………………………………………………………………………………………… 附录Ａ（资料性附录） 运行监管交付件模版６…………………………………………………………… 附录Ｂ（资料性附录） 安全控制措施运行监管列表１ ０…………………………………………………… 参考文献１ ８……………………………………………………………………………………………………犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９前 言本标准按照ＧＢ／Ｔ１． １—２ ０ ０ ９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２ ６ ０）提出并归口。本标准起草单位：四川大学、中国电子技术标准化研究院、北京安信天行技术有限公司、北京信息安全测评中心、华为技术有限公司、阿里云计算有限公司、腾讯云计算有限公司、中国移动通信有限公司研究院、广州赛宝认证中心服务有限公司、西安未来国际信息股份有限公司、陕西省信息化工程研究院、中国电子科技网络信息安全有限公司。本标准主要起草人：陈兴蜀、罗永刚、李想、刘小茵、上官晓丽、钟金鑫、赵章界、葛龙、王伟、王永霞、张磊、沈锡庸、杨思磊、葛小宇、王惠莅、白杨、王启旭、胡影。Ⅰ犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９引 言随着云计算技术的蓬勃发展，政府部门及重点行业等对采用云计算服务有了大量需求，为确保云服务客户安全地使用云计算服务，确保云服务商的安全能力符合国家相关标准要求，确保云计算服务各相关方能够实时、有效地掌握云计算服务的运行质量和安全状态，制定云计算服务运行监管框架。本标准以ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４《信息安全技术 云计算服务安全指南》为依据，以ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４《信息安全技术 云计算服务安全能力要求》为要求，规范了政府部门云服务客户在使用云计算服务的过程中，云服务商、运行监管方的相关责任及监管内容，提出了运行监管框架、过程及方式。同时，本标准为云服务商支撑云计算服务运行监管活动提供指导，为运行监管方开展运行监管提供指导。Ⅱ犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９信息安全技术云计算服务运行监管框架１ 范围 本标准确定了云计算服务运行监管框架，规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动，给出运行监管实现方式的建议。本标准适用于对政府部门使用的云计算服务进行运行监管，也可供重点行业和其他企事业单位使用云计算服务时参考。２ 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４ 信息安全技术 云计算服务安全指南ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４ 信息安全技术 云计算服务安全能力要求３ 术语和定义ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４界定的以及下列术语和定义适用于本文件。３． １运行监管方 狅 狆 犲 狉 犪 狋 犻 狅 狀狊 狌 狆 犲 狉 狏 犻 狊 犻 狅 狀狅 狉 犵 犪 狀 犻 狕 犪 狋 犻 狅 狀独立于云计算服务相关方，且具有专业技术能力，开展运行监管的机构。４ 云计算服务运行监管目的及框架 ４． １ 运行监管目的 开展云计算服务运行监管的目的是保障：ａ） 云计算服务持续满足国家相关法律法规、行政命令、政策和标准；ｂ） 云计算服务相关方能够及时、有效地掌握云计算平台的运行质量和安全状态；ｃ） 云计算服务的安全风险可控；ｄ） 云计算服务的安全能力持续满足要求。从而确保ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４中８． １提出的运行监管主要目标。 ４． ２ 运行监管框架 云计算服务运行监管框架是基于国家标准ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４和ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４中的运行监管要求而提出的。云计算服务运行监管框架如图１所示。１犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９图１ 运行监管框架云服务商应对云计算服务实施安全控制、变更管理及应急响应等方面的管理和技术措施，并为运行监管方提供已实施相关管理和技术措施的支撑材料，形成交付件（对监管活动起到佐证作用的任何实体，包括但不限于各种文档、图片、录音、录像、实物、数据等，并以纸质、电子等形式有效保存） ，附录Ａ给出了运行监管交付件参考模版，附录Ｂ给出了安全控制措施运行监管列表。运行监管方对云服务商的交付件进行分析审核、评估验证等监管活动，形成监管结果告知云计算服务相关方，必要时应根据监管结果给出合理的意见和建议。 ４． ３ 运行监管的角色及责任 ４． ３． １ 运行监管角色 运行监管框架包含两个主要角色：ａ） 云服务商。通过国家网络安全审查并为政府部门提供服务的云服务商。ｂ） 运行监管方。云服务客户的管理部门（例如：政府信息安全管理部门、云服务客户的主管部门等）指定或委托的运行监管方。 ４． ３． ２ 云服务商的责任 云服务商应确保：ａ） 云计算平台中的安全控制措施持续有效；ｂ） 云计算平台中的重大变更风险可控；ｃ） 云计算平台中的应急响应及时充分；ｄ） 向运行监管方按约定的内容、形式、频率、人工或自动机制等提交运行监管所需交付件，并确保交付件真实可靠；ｅ） 根据运行监管方反馈的监管结果对相关的管理和技术措施进行整改。从而履行ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４中８． ２． ３规定的云服务商在运行监管中的责任。 ４． ３． ３ 运行监管方的责任 运行监管方应：ａ） 对云计算服务的安全控制措施、重大变更和应急响应等进行运行监管；ｂ） 与云服务商协商运行监管接口，即交付件的内容、形式、频率和人工或自动机制等；ｃ） 确保云服务商提交的交付件安全，不得将交付件、涉及云服务商的知识产权和商业秘密的材料提供给第三方；ｄ） 对云服务商提交的交付件进行分析及审核；ｅ） 根据分析、审核结果对云计算服务的安全能力进行评估，必要时应以抽查、核查及测试等方式对交付件中的内容进行验证； ２犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９ｆ） 根据评估验证结论，形成评估报告并告知云计算服务相关方，必要时应给出整改意见和建议。从而帮助云服务客户履行ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４中８． ２． ２规定的客户在运行监管活动中的责任。５ 安全控制措施监管 ５． １ 安全控制措施内容 安全控制措施涉及的主要内容包括但不限于：ａ） 系统开发与供应链安全；ｂ） 系统与通信保护；ｃ） 访问控制；ｄ） 配置管理；ｅ） 维护；ｆ） 应急响应与灾备；ｇ） 审计；ｈ） 风险评估与持续监控；ｉ） 安全组织与人员；ｊ） 物理与环境安全。 ５． ２ 安全控制措施监管环节 安全控制措施的监管环节包括：ａ） 运行监管方制定安全控制监管策略与计划，明确监管目的与要求、监管方法与手段，细化安全控制措施的监管内容、交付件类型、格式及频率等；ｂ） 云服务商根据运行监管方制定的安全控制措施监管策略与计划，对云计算平台的安全状态实施持续监控，提交有关安全控制措施有效性的相关交付件；ｃ） 运行监管方根据云服务商提交的交付件，对云计算平台的安全控制措施进行分析、审核，必要时，应对安全控制措施的有效性进行评估，并将结果告知云计算服务相关方。６ 变更管理监管 ６． １ 变更管理内容 变更管理涉及的主要内容包括但不限于（见ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４中８． ４． ２重大变更监管） ：ａ） 鉴别（包括身份鉴别和数据源鉴别）和访问控制措施的变更；ｂ） 数据存储实现方法的变更；ｃ） 备份机制和流程的变更；ｄ） 与外部服务商网络连接的变更；ｅ） 安全控制措施的变更；ｆ） 已部署的商业软硬件产品的变更；ｇ） 云计算服务分包商的变更，例如Ｐ ａ ａ Ｓ、Ｓ ａ ａ Ｓ服务商更换Ｉ ａ ａ Ｓ服务商；ｈ） 云计算服务运行主体的变更；ｉ） 云计算平台软件版本的变更；ｊ） 云计算平台基础设施的变更；ｋ） 系统ＩＴ架构的变更。３犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９６． ２ 变更管理监管环节 重大变更的监管环节如下：ａ） 运行监管方制定变更管理监管策略与计划，明确监管目的与要求、方法与手段、交付件等；ｂ） 云服务商在实施重大变更之前，应对变更项进行安全影响分析，必要时应对变更项进行测试、验证，并根据与运行监管方约定的格式、内容、时间，提交有关重大变更安全性的相关交付件；ｃ） 运行监管方根据云服务商提交的交付件，对云计算平台的变更项进行分析、审核，必要时，应对变更项的安全性进行评估、验证，并将结果告知云计算服务相关方。７ 应急响应监管 ７． １ 应急响应内容 应急响应涉及的主要内容包括但不限于（见ＧＢ／Ｔ３ １ １ ６ ７—２ ０ １ ４中８． ４． ３安全事件监管） ：ａ） 非授权访问事件，如对云计算平台下的业务系统、数据或其他计算资源进行非授权逻辑或物理访问等；ｂ） 发生安全攻击事件，如拒绝服务攻击；ｃ） 恶意代码感染，如云计算平台被病毒、蠕虫、特洛伊木马等恶意代码感染；ｄ） 云计算平台宕机；ｅ） 重大安全威胁发现；ｆ） 重大安全信息泄露。 ７． ２ 应急响应监管环节 应急响应的监管环节如下：ａ） 运行监管方制定应急响应监管策略与计划，明确监管目的与要求、监管方法与手段，细化应急响应的监管内容、交付件类型、格式等；ｂ） 云服务商在检测到可能会导致云服务客户的业务中断或对云服务客户数据的保密性和完整性有威胁的安全事件时，开展并记录应急响应活动，形成应急响应交付件并及时提交给运行监管方；ｃ） 运行监管方根据云服务商提交的交付件，对安全事件及应急响应活动进行分析、评估，必要时，应对应急响应活动的充分性进行评估、验证，并将结果告知云计算服务相关方。８ 云计算服务运行监管的实现方式 ８． １ 概述 运行监管方应通过有效、准确、及时的方式获取有关云计算平台安全的信息及交付件，以便对云计算服务安全能力开展分析、评估、审核、验证等监管活动。获取运行监管信息和交付件的实现方式包括：手工机制和自动机制。 ８． ２ 人工机制 云服务商根据与运行监管方约定的内容及频率，以确定的非在线方式，向运行监管方提交支撑运行监管活动的相关交付件，交付件列表可参考附录Ｂ。４犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９８． ３ 自动机制 ８． ３． １ 主要内容 自动机制监管的主要内容包括但不限于：ａ） 限制对各类介质的访问，并对介质访问情况进行审计；ｂ） 对配置项的参数进行集中管理、应用和验证；ｃ） 检测云计算服务平台中新增的非授权软件、硬件或固件组件；ｄ） 维护信息系统组件清单；ｅ） 支持事件处理过程；ｆ） 支持事件报告过程；ｇ） 提高事件响应支持资源的可用性；ｈ） 对审查、分析和报告过程进行整合，以支持对可疑活动的调查和响应；ｉ） 比较不同时间的脆弱性扫描结果，以判断信息系统漏洞趋势；ｊ） 更新恶意代码防护机制；ｋ） 管理账号；ｌ） 监视和控制远程访问会话，以检测网络攻击，确保远程访问策略得以实现；ｍ） 对缺陷修复后的组件进行检测；ｎ） 对攻击事件进行准实时分析；ｏ） 温湿度控制。 ８． ３． ２ 要求 实现自动机制时应考虑：ａ） 遵守国家相关法律、行政命令、指令、政策、条例、标准和指导方针；ｂ） 使用开放性规范、标准、技术及协议；ｃ） 从各种信息源中提取信息；ｄ） 提供与其他工具的可交互性；ｅ） 能够对安全控制、变更管理及应急响应过程中的信息进行整合并格式化输出。５犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９附 录 犃（资料性附录）运行监管交付件模版犃． １ 安全控制措施报告表 云服务商应逐项对照附录Ａ的各项要求的实现情况在表Ａ． １中进行说明。 表犃． １ 安全控制措施报告表安全控制措施报告表 云服务商 云服务商名称云计算服务名称 安全能力 安全类安全项安全属性□一般要求□增强要求章节号内容描述：（对内容中给出的赋值和选择项，需在表格中明确列出赋值和选择的具体参数） 安全措施措施名称作用范围□通用□专用□混用 安全控制措施说明：（对采用的安全控制措施的功能、效果及可用性等特性进行说明） 拟提供的证据（可另附页）（能证明安全控制措施有效性的说明）犃． ２ 重大变更报告表 对于计划中的重大变更，云服务商应在计划实施之前，以与运行监管方约定的时间内，在表Ａ． ２中进行说明。６犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犃． ２ 重大变更报告表重大变更报告表 云服务商 云服务商名称云计算服务名称云服务客户安全能力要求□一般□增强服务模式□软件即服务（Ｓ ａ ａ Ｓ）□平台即服务（Ｐ ａ ａ Ｓ）□基础设施即服务（Ｉ ａ ａ ｓ）□其他（请注明） 部署模式□公有云□私有云□社区云□混合云□其他（请注明） 变更计划开始日期变更计划完成日期 联系人姓名联系人职务 联系人电子邮件联系人电话 变更类型 □云服务商变动（云服务商名称、注册地、企业性质、管理层） □物理环境变化（机房位置）□网络环境变化（网络架构、与外部信息系统的连接、与外部服务商的连接） □云平台关键软件组成变更（版本、代码、组件、供应商）□云平台关键硬件组成变更（硬件组成、Ｉ Ｐ地址、供应商） □供应链关键服务商变更□云计算服务分包商的变更，例如Ｐ ａ ａ Ｓ、Ｓ ａ ａ Ｓ服务商更换Ｉ ａ ａ Ｓ服务商□鉴别（包括身份鉴别和数据源鉴别）和访问控制措施的变更 □数据存储的实现方法变更□备份机制和流程变更□安全措施的撤除□其他变更原因说明： 变更情况说明： 变更影响分析（可另附页） ：犃． ３ 重大安全事件报告表 云服务商应在发现重大安全事件的第一时间，启动应急响应程序并告知运行监管方，事件响应完成后，依据时间响应处理过程的情况，在表Ａ． ３中进行说明。７犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犃． ３ 重大安全事件报告表重大安全事件报告表 云服务商名称 报告时间 年 月 日 时 分发现事件的情况■发生了什么事件■发生事件的时间■发现人■发现人所属部门重大安全事件的详细描述（如以前出现过此类情况，也应加以说明）■事件发生过程和原因等情况■受影响的用户、业务及其损失■已确定的风险■是否向云服务客户、国家和地方应急响应组织及有关信息安全主管部门等报告■其他安全事件的类型□有害程序事件 □网络攻击事件 □信息破坏事件□信息内容安全事件□设备设施故障□灾害性事件□其他信息安全事件 安全事件的级别□特别重大安全事件 □重大安全事件 □较大安全事件□一般安全事件 受影响的资产（提供受事件影响或与事件影响有关的资产的描述）例如：信息／数据、硬件、软件、网络设备、通信设施、文档等涉及信息系统名称及主要用途事件对业务的负面影响□违背保密性（即泄露）□违背完整性（即篡改）□违背可用性（即不可用性）□违背抗抵赖性□遭受破坏 攻击者的描述（实际的或觉察的动机）□犯罪／经济效益 □消遣／黑客攻击 □政治／恐怖主义□报复 □其他 计划采取的解决事件行动符合现有事件处理计划□符合□不符合 原因： 是否修订了事件处理计划□是□否 原因： 是否修订了应急响应计划□是□否 原因： ８犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犃． ３（续）重大安全事件报告表事件处理过程描述□事件处置开始时间和结束时间□事件处置人员、所属部门和联系方式□其他 事件处理完成后对安全产生影响分析 提交的证据及编号 签名： 日期： ９犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９附 录 犅（资料性附录）安全控制措施运行监管列表安全控制措施运行监管情况见表Ｂ． １。 表犅． １ 安全控制措施运行监管表安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４系统开发与供应链安全资源分配一般要求ｃ） 在工作计划和预算文件中，将信息安全作为单列项予以说明５． ２采购过程一般要求云服务商应根据相关法律、法规、政策和标准的要求，以及可能的客户需求，并在风险评估的基础上，将以下内容列入信息系统采购合同： ａ） 安全功能要求；ｂ） 安全强度要求；ｃ） 安全保障要求；ｄ） 安全相关文档要求；ｅ） 保密要求；ｆ） 开发环境和预期运行环境描述；ｇ） 验收准则；ｈ） 强制配置要求，如功能、端口、协议和服务５． ４开发过程、标准和工具增强要求ｃ） 按照［赋值：云服务商定义的频率］审查开发过程、标准、工具以及工具选项和配置，判定有关过程、标准、工具以及工具选项和配置是否满足［赋值：云服务商定义的安全需求］ 。 ｄ） 要求信息系统、组件或服务的开发商在开发过程的初始阶段定义质量度量标准，并以［选择： ［赋值：云服务商定义的频率］ ； ［赋值：云服务商定义的项目审查里程碑］ ；交付时］为节点，检查质量度量标准的落实情况 ｉ） 要求信息系统、组件或服务的开发商即使在交付信息系统、组件或服务后，也应跟踪信息系统、组件或服务的漏洞情况，在发布漏洞补丁前便应通知云服务商，且应将漏洞补丁交由云服务商审查、验证并允许云服务商自行安装５． １ ０开发商安全测试和评估一般要求ａ） 制定并实施安全评估计划。ｂ）以［赋值：云服务商定义的深度和覆盖度］执行［选择：单元；集成；系统；回归］测试或评估 增强要求ｅ） 要求信息系统、组件或服务的开发商按照［赋值：云服务商定义的约束条件］ ，以［赋值：云服务商定义的广度和深度］执行渗透性测试５． １ ２组件真实性增强要求ｂ） 向［选择：正品厂商； ［赋值：云服务商定义的外部报告机构］ ； ［赋值：云服务商定义的人员和角色］ ；其他有关方面］报告赝品组件。 ｆ） 按照［赋值：云服务商定义的频率］检查信息系统中是否有赝品组件５． １ ５供应链保护一般要求ｂ） 确保［赋值：云服务商定义的重要设备］通过［赋值：政府和行业有关部门已设立的信息安全测评制度］的安全检测５． １ ７０ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４系统与通信保护边界保护一般要求ａ） 在连接外部系统的边界和内部关键边界上，对通信进行监控；在客户之外的外部人员访问系统的关键逻辑边界和客户访问系统的关键逻辑边界上，对通信进行监控。 ｂ） 将允许外部公开直接访问的组件，划分在一个与内部网络逻辑隔离的子网络上。并确保允许外部人员访问的组件与允许客户访问的组件在逻辑层面实现严格的网络隔离。 ｃ） 确保与外部网络或信息系统的连接只能通过严格管理的接口进行，根据云服务商的安全架构，该接口上应部署有边界保护设备增强要求ａ） 为云计算服务搭建物理独立的计算平台、存储平台、内部网络环境及相关维护、安防、电源等设施，并经由受控边界与外部网络相连。 ｇ） 构建物理上独立的管理网络，连接管理工具和被管设备或资源，以对云计算平台进行管理 ｃ） 采取以下措施：１） 对每一个外部的电信服务接口进行管理。２） 为每一个接口制定通信流策略。３） 采取有关措施对所传输的信息流进行必要的保密性和完整性保护。 ４） 当根据业务需要，出现通信流策略的例外情况时，将业务需求和通信持续时间记录到通信流策略的例外条款中。 ５） 按照［赋值：云服务商定义的频率］ ，对网络通信流策略中的例外条款进行审查，在通信流策略中删除不再需要的例外条款６． ２恶意代码防护一般要求ｃ） 配置恶意代码防护机制，以：１） 按照［赋值：云服务商定义的频率］定期扫描信息系统，以及在［选择：终端；网络出入口］下载、打开、执行外部文件时对其进行实时扫描。 ２） 当检测到恶意代码后，实施［选择：阻断或隔离恶意代码；向管理员报警； ［赋值：云服务商定义的活动］ ］ 。 ｄ） 及时掌握系统的恶意代码误报率，并分析误报对信息系统可用性的潜在影响６． １ １访问控制鉴别凭证管理一般要求ａ） 通过以下步骤管理鉴别凭证：４） 针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程。 ６） 明确鉴别凭证的最小和最大生存时间限制以及再用条件 ａ） 通过以下步骤管理鉴别凭证：７） 对［赋值：云服务商定义的鉴别凭证］ ，强制要求在［赋值：云服务商定义的时间段］之后更新鉴别凭证。 ｂ） 对于基于口令的鉴别：４） 强制执行最小和最大生存时间限制，以满足［赋值：云服务商定义的最小生存时间和最大生存时间］７． ５１ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４访问控制账号管理一般要求ｉ）按照［赋值：云服务商定义的频率］ ，检查账号是否符合账号管理的要求增强要求ｂ） 在［赋值：云服务商定义的时间段］后自动［选项：删除；禁用］临时和应急账号。 ｃ） 在［赋值：云服务商定义的时间段］后自动关闭非活跃账号７． ８无线访问一般要求云服务商应禁用无线网络直接访问云计算平台７． ２ ０ 可供公共访问的内容一般要求ｄ） 按照［赋值：云服务商定义的频率］审查公开发布的信息中是否含有非公开信息，一经发现，立即删除７． ２ ３配置管理配置管理计划增强要求ａ） 制定并实施云计算平台的配置管理计划。ｂ） 在配置管理计划中，规定配置管理相关人员的角色和职责，并详细规定配置管理的流程。 ｃ） 在系统生命周期内，建立配置项标识和管理流程。ｄ） 定义信息系统的配置项并将其纳入配置管理计划。ｅ） 保护配置管理计划，以防非授权的泄露和变更８． ２变更控制一般要求ｄ） 审查所提交的信息系统受控配置的变更事项，根据安全影响分析结果进行批准或否决，并记录变更决定。 ｅ） 保留信息系统中受控配置的变更记录。ｆ） 按照［赋值：云服务商定义的频率］对与系统受控配置的变更有关的活动进行审查８． ４最小功能原则增强要求ａ） 按照［赋值：云服务商定义的频率］ ，对信息系统进行审查，以标识不必要或不安全的功能、端口、协议或服务。 ｂ） 关闭［赋值：云服务商定义的不必要或不安全的功能、端口、协议和服务］ 。 ｃ） 信息系统应按照［选择： ［赋值：云服务商定义的软件使用与限制策略］ ；对软件使用的授权规则］ ，禁止运行相关程序。 ｄ） 按照白名单策略，确定［赋值：云服务商定义的在云计算平台上允许运行的软件］ ，禁止非授权软件在云计算平台上运行，并按照［赋值：云服务商定义的频率］ ，审查和更新授权软件列表８． ６信息系统组件清单一般要求ａ） 制定和维护信息系统组件清单，该清单应满足下列要求：１） 能准确反映当前信息系统的情况。２） 与信息系统边界一致。３） 达到信息安全管理所必要的颗粒度。４） 包含［赋值：云服务商定义的为实现有效的资产追责所必要的信息］ 。 ｂ） 按照［赋值：云服务商定义的频率］ ，审查并更新信息系统组件清单增强要求ａ） 按照［赋值：云服务商定义的频率］ ，使用自动机制检测云计算服务平台中新增的非授权软件、硬件或固件组件８． ７２ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４维护远程维护一般要求ｆ） 对所有远程维护和诊断活动进行审计，按照［赋值：云服务商定义的频率］对所有远程维护和诊断会话的记录进行审查９． ４维护人员一般要求ａ） 建立对维护人员的授权流程，对已获授权的维护组织或人员建立列表９． ５缺陷修复一般要求ａ） 标识、报告和修复云计算平台的缺陷。ｂ） 在与安全相关的软件和固件升级包发布后，及时安装升级包增强要求云服务商应使用自动检测机制，按照［赋值：云服务商定义的频率］对缺陷修复后的组件进行检测９． ７安全功能验证一般要求ａ） 验证［赋值：云服务商定义的安全功能］是否正常运行９． ８ 软件、固件、信息完整性增强要求ａ） 按照［赋值：云服务商定义的频率］对云计算平台进行完整性扫描，并重新评估软件、固件和信息的完整性９． ９应急响应与灾备事件处理计划一般要求ａ） 制定信息系统的事件处理计划，该计划应：１） 说明启动事件处理计划的条件和方法。２） 说明事件处理能力的组织结构。３） 定义需要报告的安全事件。４） 提供组织内事件处理能力的度量目标。５） 定义必要的资源和管理支持，以维护和增强事件处理能力。６） 由［赋值：云服务商定义的人员或角色］审查和批准。ｂ） 向［赋值：云服务商定义的人员、角色或部门］ ，发布事件处理计划。ｃ） 按照［赋值：云服务商定义的频率］ ，审查事件响应计划。ｄ） 如系统发生变更或事件响应计划在实施、执行或测试中遇到问题，及时修改事件处理计划并通报［赋值：云服务商定义的人员、角色或部门］ 。 ｅ） 防止事件处理计划非授权泄露和更改１ ０． ２事件处理一般要求ｃ） 将当前事件处理活动的经验，纳入事件处理、培训及演练计划，并实施相应的变更１ ０． ３事件报告一般要求ａ） 根据应急响应计划，监控和报告安全事件。ｂ） 当发现可疑的安全事件时，在［赋值：云服务商定义的时间段］内，向本组织的事件处理部门报告。 ｃ） 建立事件报告渠道，当发生影响较大的安全事件时，向国家和地方应急响应组织及有关信息安全主管部门报告１ ０． ４应急响应计划一般要求ｃ） 按照［赋值：云服务商定义的频率］更新应急响应计划 ｄ） 如系统发生变更或应急响应计划在实施、执行或测试中遇到问题，及时修改应急响应计划并向［赋值：云服务商定义的人员、角色或部门］及客户进行通报１ ０． ８应急培训一般要求ａ） 向［赋值：云服务商定义的人员或角色］提供应急响应培训。ｂ） 当信息系统变更时，或按照［赋值：云服务商定义的频率］ ，重新开展培训１ ０． ９应急演练一般要求ａ） 至少每年制定或修订应急演练计划，并与客户充分协商，听取客户意见。ｂ） 按照［赋值：云服务商定义的频率］ ，执行应急演练计划，并且至少在演练开始前［赋值：云服务商与客户确定的时间］之前通知客户和相关部门１ ０． １ ０３ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４应急响应与灾备信息系统备份一般要求ａ） 具备系统级备份能力，按照［赋值：云服务商定义的频率］ ，对信息系统中的系统级信息进行备份，如系统状态、操作系统及应用软件。 ｅ） 具有验证信息系统备份连续有效的方法，并按照［赋值：云服务商定义的频率］进行验证１ ０． １ １审计可审计事件一般要求ｃ） 制定信息系统内需连续审计的事件清单，并确定各事件的审计频率，该清单为上述可审计事件清单的子集增强要求云服务商应按照［赋值：云服务商定义的频率］对可审计清单进行审查和更新１ １． ２审计的审查、分析和报告一般要求ａ） 按照［赋值：云服务商定义的频率］对审计记录进行审查和分析，以发现［赋值：云服务商定义的不当或异常活动］ ，并向［赋值：云服务商定义的人员或角色］报告１ １． ６风险评估与持续监控策略与规程一般要求ｂ） 按照［赋值：云服务商定义的频率］或当需要时，审查和更新综合风险管理策略、风险评估策略、持续性的监控策略及相关规程１ ２． １风险评估一般要求ｂ） 按照［赋值：云服务商定义的频率］定期开展风险评估，或者在信息系统或运行环境发生重大变更（包括发现新的威胁和漏洞）时，或者在出现其他可能影响系统安全状态的条件时，重新进行风险评估。ｃ） 将评估结果记录在风险评估报告中，并将风险评估结果发布至［赋值：云服务商定义的人员或角色］ 。ｄ） 根据风险评估报告，有针对性地对云计算平台信息系统进行安全整改，将风险降低到［赋值：云服务商定义的可接受的水平］１ ２． ２脆弱性扫描一般要求ａ） 使用脆弱性扫描工具和技术，按照［赋值：云服务商定义的频率］对云计算平台信息系统及其上的应用程序进行脆弱性扫描，并标识和报告可能影响该系统或应用的新漏洞。ｂ） 根据风险评估或脆弱性扫描结果，在［赋值：云服务商定义的响应时间段］内修复漏洞增强要求ａ） 确保所使用的脆弱性扫描工具具有迅速更新漏洞库的能力。ｂ） 按［选择： ［赋值：云服务商定义的频率］ ；启动新的扫描前；新的漏洞信息发布后］更新信息系统漏洞库 ｄ） 在脆弱性扫描活动中，使用特权账号对［赋值：云服务商定义的信息系统组件］进行［赋值：云服务商定义的脆弱性扫描行动］ ，以实现更全面扫描。ｃ） 确保所使用的脆弱性扫描工具能够展现扫描所覆盖的广度和深度（如已扫描的信息系统组件和已核查的漏洞）１ ２． ３持续监控一般要求ａ） 制定持续性的监控策略，并实施持续性监控，内容包括：１） 确定待监控的度量指标。２） 确定监控频率。ｃ） 根据持续性监控策略，对已定义的度量指标进行持续的安全状态监控。ｄ） 对评估和监控产生的安全相关信息进行关联和分析。ｅ） 对安全相关信息分析结果进行响应。ｆ） 按照［赋值：云服务商定义的频率］向［赋值：云服务商定义的人员或角色］报告信息系统安全状态增强要求云服务商应每年安排实施未事先声明的渗透性测试以及深度检测，以验证系统的安全状态１ ２． ４４ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４风险评估与持续监控信息系统监测一般要求ａ） 能够针对［赋值：云服务商定义的监测目标］ ，发现攻击行为。ｂ） 能够检测出非授权的本地、网络和远程连接。ｃ） 能够通过［赋值：云服务商定义的技术和方法］ ，发现对信息系统的非授权使用。 ｄ） 能够对入侵监测工具收集的信息进行保护，防止非授权访问、修改或删除。 ｅ） 当威胁环境发生变化、信息系统风险增加时，提升信息系统监测级别。 ｆ） 确保信息系统监控活动符合关于隐私保护的相关政策法规。ｇ） 按照需要或［赋值：云服务商定义的频率］ ，向［赋值：云服务商定义的人员或角色］提供［赋值：云服务商定义的信息系统监控信息］增强要求ａ） 使用自动工具对攻击事件进行准实时分析。ｂ） 信息系统应按照［赋值：云服务商定义的频率］监测进出的通信，以发现异常或非授权的行为。 ｃ） 当下述迹象发生时，信息系统应向［赋值：云服务商定义的人员或角色］发出警报： １） 受保护的信息系统文件或目录在没有得到正常的变更或配置管理渠道通知的情况下被修改。 ２） 当发生异常资源消耗时。３） 审计功能被禁止或修改，导致审计可见性降低。４） 审计或日志记录在无法解释的情况下被删除或修改。５） 预期之外的用户发起了资源或服务请求。６） 信息系统报告了管理员或关键服务账号的登录失败或口令变更情况。 ７） 进程或服务的运行方式与系统的一般情况不符。８） 在生产系统上保存或安装与业务无关的程序、工具、脚本。ｄ） 防止非授权用户绕过入侵检测和入侵防御机制。ｅ） 对信息系统运行状态（包括ＣＰＵ、内存、网络）进行监视，并能够对资源的非法越界使用发出警报１ ２． ５垃圾信息监测一般要求ａ） 在系统的出入口和网络中的工作站、服务器或移动计算设备上部署垃圾信息监测与防护机制，以检测并应对电子邮件、电子邮件附件、 ｗｅ ｂ访问或其他渠道的垃圾信息。ｂ） 在出现新的发布包时，及时更新垃圾信息监测与防护机制１ ２． ６安全组织与人员安全组织一般要求ａ） 建立管理框架来启动和控制组织内信息安全的实现：１） 设立［赋值：云服务商定义的人员或角色］作为信息安全的第一负责人，由本组织最高管理层人员担任。 ２） 设立［赋值：云服务商定义的部门］作为信息安全的责任部门，并通过［赋值：云服务商定义的机制］与本组织其他业务部门协调。 ｂ） 建立［赋值：云服务商定义的机制］ ，以保持与［赋值：云服务商定义的外部组织］的适当联系。 ｃ）实施内部威胁防范程序，包括跨部门的内部威胁事件处理团队１ ３． ２５ １犌犅／犜３ ７ ９ ７ ２—２ ０ １ ９表犅． １（续）安全类安全项属性内容ＧＢ／Ｔ３ １ １ ６ ８—２ ０ １ ４安全组织与人员安全规章制度一般要求ａ） 制定信息安全规章制度，并传达至内外部相关人员。ｂ） 在信息安全策略或计划发生变更时，或者按照［赋值：云服务商定义的频率］ ，评审和更新信息安全规章制度，以确保其持续的适用性和有效性１ ３． ４人员筛选一般要求ａ） 确保授权访问信息系统的人员已经经过筛选，人员背景信息和筛选结果应可供客户查阅。 ｂ） 按照［赋值：云服务商定义的再筛选条件和频率］ ，审查访问人员的再筛选结果１ ３． ６访问协议一般要求ａ） 制定云计算平台的访问协议。ｂ） 按照［赋值：云服务商定义的频率］ ，评审和更新该访问协议。ｃ） 确保云计算平台的访问人员：１） 在被授予访问权之前，签署合适的访问协议。２） 根据工作需要，或者按照［赋值：云服务商定义的频率］ ，重新签署访问协议１ ３． ９安全培训一般要求ａ） 在以下情况下为信息系统用户（包括管理层人员和合同商）提供基础的安全意识培训： １） 作为新用户初始培训的一部分。２） 在因信息系统变更而需要时。３） 按照［赋值：云服务商定义的频率］ 。ｂ） 在以下情况下为被分配了安全角色和职责的人员提供基于角色的安全技能培训： １） 在授权访问信息系统或者执行所分配的职责之前。２） 在因信息系统变更而需要时。３） 按照［赋值：云服务商定义的频率］ 。ｄ） 按照［赋值：云服务商定义的时间段］ ，保存人员的培训记录