2022云計算云服務管理辦法

Q/XXXXX公司標準Q/FORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????2023-09-01實施 企業(yè)云計算云服務運行管理辦法目次1范圍 42規(guī)范性引用文件 43術語和定義 44云計算服務運行監(jiān)管框架 44.1運行監(jiān)管目的 44.2運行監(jiān)管框架 44.3運行監(jiān)管的角色及責任 55安全控制措施監(jiān)管 65.1安全控制內容 65.2安全控制監(jiān)管環(huán)節(jié) 66變更管理監(jiān)管 66.1變更管理內容 66.2變更管理監(jiān)管環(huán)節(jié) 67應急響應監(jiān)管 77.1應急響應內容 77.2應急響應監(jiān)管環(huán)節(jié) 78云計算服務運行監(jiān)管的實現(xiàn)方式 78.1概述 78.2人工機制 78.3自動機制 7附錄A（資料性附錄）安全控制措施運行監(jiān)管列表 9附錄B（資料性附錄）運行監(jiān)管交付件模版 19參考文獻 23

信息安全技術云計算服務運行監(jiān)管框架范圍本標準針對云計算服務的運行監(jiān)管環(huán)節(jié)，闡述了云計算服務運行監(jiān)管框架、監(jiān)管內容以及實現(xiàn)方式，用于指導云服務商和運行監(jiān)管方開展運行監(jiān)管的相關活動，以保障云計算服務安全能力持續(xù)滿足安全要求。本標準適用于政府部門采用云計算服務的運行監(jiān)管活動，也可供重點行業(yè)和其他企事業(yè)單位參考。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32399-2015信息技術云計算參考架構GB/T31167-2014信息安全技術云計算服務安全指南GB/T31168-2014信息安全技術云計算服務安全能力要求術語和定義GB/T31167—2014中界定的以及下列術語和定義適用于本文件。3.1運行監(jiān)管方operationsupervisionorganization獨立于云計算服務相關方，且具有專業(yè)技術能力的機構。云計算服務運行監(jiān)管框架運行監(jiān)管目的開展云計算服務運行監(jiān)管的目的是保障：云計算服務持續(xù)滿足國家相關法律法規(guī)、行政命令、政策和標準；云計算服務相關方能夠及時、有效地掌握云計算平臺的運行質量和安全狀態(tài)；云計算服務的安全風險可控；云計算服務的安全能力持續(xù)滿足要求。運行監(jiān)管框架云計算服務運行監(jiān)管框架是基于國家標準GB/T31167-2014和GB/T31168-2014中的運行監(jiān)管要求而提出的。云計算服務運行監(jiān)管框架如圖1所示。圖1運行監(jiān)管框架云服務商應對云計算服務實施安全控制、變更管理及應急響應等的管理和技術措施，并為運行監(jiān)管方提供已實施相關管理和技術措施的支撐材料，形成交付件（對監(jiān)管活動起到佐證作用的任何實體，包括但不限于各種文檔、圖片、錄音、錄像、實物、數(shù)據(jù)等，并以紙質、電子等形式有效保存），附錄A給出了安全控制措施運行監(jiān)管列表，附錄B給出了運行監(jiān)管交付件參考模版。運行監(jiān)管方對云服務商的交付件進行分析審核、評估驗證等監(jiān)管活動，形成監(jiān)管結果告知云計算服務相關方，必要時應根據(jù)監(jiān)管結果給出合理的意見和建議。運行監(jiān)管的角色及責任運行監(jiān)管角色運行監(jiān)管框架包含兩個主要角色：云服務商。通過國家網(wǎng)絡安全審查并為政府部門提供服務的云服務商；運行監(jiān)管方。云服務客戶的管理部門（例如：政府信息安全管理部門、云服務客戶的主管部門等）指定或委托的運行監(jiān)管方。云服務商的責任云服務商應確保：云計算平臺中的安全控制措施持續(xù)有效；云計算平臺中的重大變更風險可控；云計算平臺中的應急響應及時充分；向運行監(jiān)管方按約定的內容、形式、頻率、人工或自動機制等提交運行監(jiān)管所需交付件，并確保交付件真實可靠；根據(jù)運行監(jiān)管方反饋的監(jiān)管結果對相關的管理和技術措施進行整改。運行監(jiān)管方的責任運行監(jiān)管方應：對云計算服務的安全控制措施、重大變更和應急響應等進行運行監(jiān)管；與云服務商協(xié)商運行監(jiān)管接口，即交付件的內容、形式、頻率和人工或自動機制等；確保云服務商提交的交付件安全，不得將交付件、涉及云服務商的知識產(chǎn)權和商業(yè)秘密的材料提供給第三方；對云服務商提交的交付件進行分析及審核；根據(jù)分析、審核結果對云計算服務的安全能力進行評估，必要時應以抽查、核查及測試等方式對交付件中的內容進行驗證；根據(jù)評估驗證結論，形成評估報告并告知云計算服務相關方，必要時應給出整改意見和建議。安全控制措施監(jiān)管安全控制內容安全控制涉及的主要內容包括但不限于：系統(tǒng)開發(fā)與供應鏈安全；系統(tǒng)與通信保護；訪問控制；配置管理；維護；應急響應與災備；審計；風險評估與持續(xù)監(jiān)控；安全組織與人員；物理與環(huán)境安全。安全控制監(jiān)管環(huán)節(jié)安全控制的監(jiān)管環(huán)節(jié)包括：運行監(jiān)管方制定安全控制監(jiān)管策略與計劃，明確監(jiān)管目的與要求、監(jiān)管方法與手段，細化安全控制的監(jiān)管內容、交付件類型、格式及頻率等；云服務商根據(jù)運行監(jiān)管方制定的安全控制措施監(jiān)管策略與計劃，對云計算平臺的安全狀態(tài)實施持續(xù)監(jiān)控，提交有關安全控制措施有效性的相關交付件；運行監(jiān)管方根據(jù)云服務商提交的交付件，對云計算平臺的安全控制措施進行分析、審核，必要時，應對安全控制措施的有效性進行評估，并將結果告知云計算服務相關方。變更管理監(jiān)管變更管理內容變更管理涉及的主要內容包括但不限于：鑒別（包括身份鑒別和數(shù)據(jù)源鑒別）和訪問控制措施的變更；數(shù)據(jù)存儲實現(xiàn)方法的變更；備份機制和流程的變更與外部服務商網(wǎng)絡連接的變更；安全控制措施的變更；已部署的商業(yè)軟硬件產(chǎn)品的變更；云計算服務分包商的變更，例如PaaS、SaaS服務商更換IaaS服務商；云計算服務運行主體的變更；云計算平臺軟件版本的變更；云計算平臺基礎設施的變更；系統(tǒng)IT架構的變更。變更管理監(jiān)管環(huán)節(jié)重大變更的監(jiān)管環(huán)節(jié)如下：運行監(jiān)管方制定變更管理監(jiān)管策略與計劃，明確監(jiān)管目的與要求、方法與手段、交付件等；云服務商在實施重大變更之前，應對變更項進行安全影響分析，必要時應對變更項進行測試、驗證，并根據(jù)與運行監(jiān)管方約定的格式、內容、時間，提交有關重大變更安全性的相關交付件；運行監(jiān)管方根據(jù)云服務商提交的交付件，對云計算平臺的變更項進行分析、審核，必要時，應對變更項的安全性進行評估、驗證，并將結果告知云計算服務相關方。應急響應監(jiān)管應急響應內容應急響應涉及的主要內容包括但不限于：非授權訪問事件，如對云計算平臺下的業(yè)務系統(tǒng)、數(shù)據(jù)或其他計算資源進行非授權邏輯或物理訪問等；發(fā)生安全攻擊事件，如拒絕服務攻擊；惡意代碼感染，如云計算平臺被病毒、蠕蟲、特洛伊木馬等惡意代碼感染；云計算平臺宕機；重大安全威脅發(fā)現(xiàn)；重大安全信息泄露。應急響應監(jiān)管環(huán)節(jié)應急響應的監(jiān)管環(huán)節(jié)如下：運行監(jiān)管方制定應急響應監(jiān)管策略與計劃，明確監(jiān)管目的與要求、監(jiān)管方法與手段，細化應急響應的監(jiān)管內容、交付件類型、格式等；云服務商在檢測到可能會導致云服務客戶的業(yè)務中斷或對云服務客戶數(shù)據(jù)的機密性和完整性有威脅的安全事件時，開展并記錄應急響應活動，形成應急響應交付件并及時提交給運行監(jiān)管方；運行監(jiān)管方根據(jù)云服務商提交的交付件，對安全事件及應急響應活動進行分析、評估，必要時，應對應急響應活動的充分性進行評估、驗證，并將結果告知云計算服務相關方。云計算服務運行監(jiān)管的實現(xiàn)方式概述運行監(jiān)管方應通過有效、準確、及時地方式獲取有關云計算平臺安全的信息及交付件，以便對云計算服務安全能力開展分析、評估、審核、驗證等監(jiān)管活動。獲取運行監(jiān)管信息和交付件的實現(xiàn)方式包括：手工機制和自動機制。人工機制根據(jù)與運行監(jiān)管方約定的內容及頻率，以確定的非在線方式，向運行監(jiān)管方提交支撐運行監(jiān)管活動的相關交付件，交付件列表可參考附錄A。自動機制主要內容自動機制涉及的主要內容包括但不限于：限制對各類介質的訪問，并對介質訪問情況進行審計；對配置項的參數(shù)進行集中管理、應用和驗證；檢測云計算服務平臺中新增的非授權軟件、硬件或固件組件；維護信息系統(tǒng)組件清單；支持事件處理過程；支持事件報告過程；提高事件響應支持資源的可用性；對審查、分析和報告過程進行整合，以支持對可疑活動的調查和響應；比較不同時間的脆弱性掃描結果，以判斷信息系統(tǒng)漏洞趨勢；更新惡意代碼防護機制；管理賬號；監(jiān)視和控制遠程訪問會話，以檢測網(wǎng)絡攻擊，確保遠程訪問策略得以實現(xiàn)；對缺陷修復后的組件進行檢測；對攻擊事件進行準實時分析；溫濕度控制。要求實現(xiàn)自動機制時應考慮：遵守國家相關法律、行政命令、指令、政策、條例、標準和指導方針；使用開放性規(guī)范、標準、技術及協(xié)議；從各種信息源中提取信息；提供與其他工具的可交互性；能夠對安全控制、變更管理及應急響應過程中的信息進行整合并格式化輸出。

附錄A

（資料性附錄）

安全控制措施運行監(jiān)管列表安全類安全項屬性內容GB/T31168-2014系統(tǒng)開發(fā)與供應鏈安全資源分配一般要求c）在工作計劃和預算文件中，將信息安全作為單列項予以說明。5.2采購過程一般要求云服務商應根據(jù)相關法律、法規(guī)、政策和標準的要求，以及可能的客戶需求，并在風險評估的基礎上，將以下內容列入信息系統(tǒng)采購合同：

a）安全功能要求。

b）安全強度要求。

c）安全保障要求。

d）安全相關文檔要求。

e）保密要求。

f）開發(fā)環(huán)境和預期運行環(huán)境描述。

g）驗收準則。

h）強制配置要求，如功能、端口、協(xié)議和服務。5.4開發(fā)過程、標準和工具增強要求c）按照[賦值：云服務商定義的頻率]審查開發(fā)過程、標準、工具以及工具選項和配置，判定有關過程、標準、工具以及工具選項和配置是否滿足[賦值：云服務商定義的安全需求]。

d）要求信息系統(tǒng)、組件或服務的開發(fā)商在開發(fā)過程的初始階段定義質量度量標準，并以[選擇：[賦值：云服務商定義的頻率]；[賦值：云服務商定義的項目審查里程碑]；交付時]為節(jié)點，檢查質量度量標準的落實情況。5.10i）要求信息系統(tǒng)、組件或服務的開發(fā)商即使在交付信息系統(tǒng)、組件或服務后，也應跟蹤信息系統(tǒng)、組件或服務的漏洞情況，在發(fā)布漏洞補丁前便應通知云服務商，且應將漏洞補丁交由云服務商審查、驗證并允許云服務商自行安裝。開發(fā)商安全測試和評估一般要求a）制定并實施安全評估計劃。

b）以[賦值：云服務商定義的深度和覆蓋度]執(zhí)行[選擇：單元；集成；系統(tǒng)；回歸]測試或評估。5.12增強要求e）要求信息系統(tǒng)、組件或服務的開發(fā)商按照[賦值：云服務商定義的約束條件]，以[賦值：云服務商定義的廣度和深度]執(zhí)行滲透性測試。組件真實性增強要求b）向[選擇：正品廠商；[賦值：云服務商定義的外部報告機構]；[賦值：云服務商定義的人員和角色]；其他有關方面]報告贗品組件。

f）按照[賦值：云服務商定義的頻率]檢查信息系統(tǒng)中是否有贗品組件。5.15供應鏈保護一般要求b）確保[賦值：云服務商定義的重要設備]通過[賦值：政府和行業(yè)有關部門已設立的信息安全測評制度]的安全檢測。5.17系統(tǒng)與通信保護邊界保護一般要求a）在連接外部系統(tǒng)的邊界和內部關鍵邊界上，對通信進行監(jiān)控；在客戶之外的外部人員訪問系統(tǒng)的關鍵邏輯邊界和客戶訪問系統(tǒng)的關鍵邏輯邊界上，對通信進行監(jiān)控。

b）將允許外部公開直接訪問的組件，劃分在一個與內部網(wǎng)絡邏輯隔離的子網(wǎng)絡上。并確保允許外部人員訪問的組件與允許客戶訪問的組件在邏輯層面實現(xiàn)嚴格的網(wǎng)絡隔離。

c）確保與外部網(wǎng)絡或信息系統(tǒng)的連接只能通過嚴格管理的接口進行，根據(jù)云服務商的安全架構，該接口上應部署有邊界保護設備。6.2增強要求a）為云計算服務搭建物理獨立的計算平臺、存儲平臺、內部網(wǎng)絡環(huán)境及相關維護、安防、電源等設施，并經(jīng)由受控邊界與外部網(wǎng)絡相連。

g）構建物理上獨立的管理網(wǎng)絡，連接管理工具和被管設備或資源，以對云計算平臺進行管理。c）采取以下措施：

1）對每一個外部的電信服務接口進行管理。

2）為每一個接口制定通信流策略。

3）采取有關措施對所傳輸?shù)男畔⒘鬟M行必要的保密性和完整性保護。

4）當根據(jù)業(yè)務需要，出現(xiàn)通信流策略的例外情況時，將業(yè)務需求和通信持續(xù)時間記錄到通信流策略的例外條款中。

5）按照[賦值：云服務商定義的頻率]，對網(wǎng)絡通信流策略中的例外條款進行審查，在通信流策略中刪除不再需要的例外條款。惡意代碼防護一般要求c）配置惡意代碼防護機制，以：

1）按照[賦值：云服務商定義的頻率]定期掃描信息系統(tǒng)，以及在[選擇：終端；網(wǎng)絡出入口]下載、打開、執(zhí)行外部文件時對其進行實時掃描。

2）當檢測到惡意代碼后，實施[選擇：阻斷或隔離惡意代碼；向管理員報警；[賦值：云服務商定義的活動]]。

d）及時掌握系統(tǒng)的惡意代碼誤報率，并分析誤報對信息系統(tǒng)可用性的潛在影響。6.11訪問控制鑒別憑證管理一般要求a）通過以下步驟管理鑒別憑證：

4）針對鑒別憑證的初始分發(fā)、丟失處置以及收回，建立和實施管理規(guī)程。

6）明確鑒別憑證的最小和最大生存時間限制以及再用條件。7.5a）通過以下步驟管理鑒別憑證：

7）對[賦值：云服務商定義的鑒別憑證]，強制要求在[賦值：云服務商定義的時間段]之后更新鑒別憑證。

b）對于基于口令的鑒別：

4）強制執(zhí)行最小和最大生存時間限制，以滿足[賦值：云服務商定義的最小生存時間和最大生存時間]。賬號管理一般要求i）按照[賦值：云服務商定義的頻率]，檢查賬號是否符合賬號管理的要求。7.8增強要求b）在[賦值：云服務商定義的時間段]后自動[選項：刪除；禁用]臨時和應急賬號。

c）在[賦值：云服務商定義的時間段]后自動關閉非活躍賬號。無線訪問一般要求云服務商應禁用無線網(wǎng)絡直接訪問云計算平臺。7.20可供公共訪問的內容一般要求d）按照[賦值：云服務商定義的頻率]審查公開發(fā)布的信息中是否含有非公開信息，一經(jīng)發(fā)現(xiàn)，立即刪除。7.23配置管理配置管理計劃增強要求a）制定并實施云計算平臺的配置管理計劃。

b）在配置管理計劃中，規(guī)定配置管理相關人員的角色和職責，并詳細規(guī)定配置管理的流程。

c）在系統(tǒng)生命周期內，建立配置項標識和管理流程。

d）定義信息系統(tǒng)的配置項并將其納入配置管理計劃。

e）保護配置管理計劃，以防非授權的泄露和變更。8.2變更控制一般要求d）審查所提交的信息系統(tǒng)受控配置的變更事項，根據(jù)安全影響分析結果進行批準或否決，并記錄變更決定。

e）保留信息系統(tǒng)中受控配置的變更記錄。

f）按照[賦值：云服務商定義的頻率]對與系統(tǒng)受控配置的變更有關的活動進行審查。8.4最小功能原則增強要求a）按照[賦值：云服務商定義的頻率]，對信息系統(tǒng)進行審查，以標識不必要或不安全的功能、端口、協(xié)議或服務。

b）關閉[賦值：云服務商定義的不必要或不安全的功能、端口、協(xié)議和服務]。

c）信息系統(tǒng)應按照[選擇：[賦值：云服務商定義的軟件使用與限制策略]；對軟件使用的授權規(guī)則]，禁止運行相關程序。

d）按照白名單策略，確定[賦值：云服務商定義的在云計算平臺上允許運行的軟件]，禁止非授權軟件在云計算平臺上運行，并按照[賦值：云服務商定義的頻率]，審查和更新授權軟件列表。8.6信息系統(tǒng)組件清單一般要求a）制定和維護信息系統(tǒng)組件清單，該清單應滿足下列要求：

1）能準確反映當前信息系統(tǒng)的情況。

2）與信息系統(tǒng)邊界一致。

3）達到信息安全管理所必要的顆粒度。

4）包含[賦值：云服務商定義的為實現(xiàn)有效的資產(chǎn)追責所必要的信息]。

b）按照[賦值：云服務商定義的頻率]，審查并更新信息系統(tǒng)組件清單。8.7增強要求a）按照[賦值：云服務商定義的頻率]，使用自動機制檢測云計算服務平臺中新增的非授權軟件、硬件或固件組件。維護遠程維護一般要求f）對所有遠程維護和診斷活動進行審計，按照[賦值：云服務商定義的頻率]對所有遠程維護和診斷會話的記錄進行審查。9.4維護人員一般要求a）建立對維護人員的授權流程，對已獲授權的維護組織或人員建立列表。9.5缺陷修復一般要求a）標識、報告和修復云計算平臺的缺陷。

b）在與安全相關的軟件和固件升級包發(fā)布后，及時安裝升級包。9.7增強要求云服務商應使用自動檢測機制，按照[賦值：云服務商定義的頻率]對缺陷修復后的組件進行檢測。安全功能驗證一般要求a）驗證[賦值：云服務商定義的安全功能]是否正常運行。9.8軟件、固件、信息完整性增強要求a）按照[賦值：云服務商定義的頻率]對云計算平臺進行完整性掃描，并重新評估軟件、固件和信息的完整性。9.9應急響應與災備事件處理計劃一般要求a）制定信息系統(tǒng)的事件處理計劃，該計劃應：

1）說明啟動事件處理計劃的條件和方法。

2）說明事件處理能力的組織結構。

3）定義需要報告的安全事件。

4）提供組織內事件處理能力的度量目標。

5）定義必要的資源和管理支持，以維護和增強事件處理能力。

6）由[賦值：云服務商定義的人員或角色]審查和批準。

b）向[賦值：云服務商定義的人員、角色或部門]，發(fā)布事件處理計劃。

c）按照[賦值：云服務商定義的頻率]，審查事件響應計劃。

d）如系統(tǒng)發(fā)生變更或事件響應計劃在實施、執(zhí)行或測試中遇到問題，及時修改事件處理計劃并通報[賦值：云服務商定義的人員、角色或部門]。

e）防止事件處理計劃非授權泄露和更改。10.2事件處理一般要求c）將當前事件處理活動的經(jīng)驗，納入事件處理、培訓及演練計劃，并實施相應的變更。10.3事件報告一般要求a）根據(jù)應急響應計劃，監(jiān)控和報告安全事件。

b）當發(fā)現(xiàn)可疑的安全事件時，在[賦值：云服務商定義的時間段]內，向本組織的事件處理部門報告。

c）建立事件報告渠道，當發(fā)生影響較大的安全事件時，向國家和地方應急響應組織及有關信息安全主管部門報告。10.4應急響應計劃一般要求c）按照[賦值：云服務商定義的頻率]更新應急響應計劃。10.8d）如系統(tǒng)發(fā)生變更或應急響應計劃在實施、執(zhí)行或測試中遇到問題，及時修改應急響應計劃并向[賦值：云服務商定義的人員、角色或部門]及客戶進行通報。應急培訓一般要求a）向[賦值：云服務商定義的人員或角色]提供應急響應培訓。

b）當信息系統(tǒng)變更時，或按照[賦值：云服務商定義的頻率]，重新開展培訓。10.9應急演練一般要求a）至少每年制定或修訂應急演練計劃，并與客戶充分協(xié)商，聽取客戶意見。

b）按照[賦值：云服務商定義的頻率]，執(zhí)行應急演練計劃，并且至少在演練開始前[賦值：云服務商與客戶確定的時間]之前通知客戶和相關部門。10.10信息系統(tǒng)備份一般要求a）具備系統(tǒng)級備份能力，按照[賦值：云服務商定義的頻率]，對信息系統(tǒng)中的系統(tǒng)級信息進行備份，如系統(tǒng)狀態(tài)、操作系統(tǒng)及應用軟件。

e）具有驗證信息系統(tǒng)備份連續(xù)有效的方法，并按照[賦值：云服務商定義的頻率]進行驗證。10.11審計可審計事件一般要求c）制定信息系統(tǒng)內需連續(xù)審計的事件清單，并確定各事件的審計頻率，該清單為上述可審計事件清單的子集。11.2增強要求云服務商應按照[賦值：云服務商定義的頻率]對可審計清單進行審查和更新。審計的審查、分析和報告一般要求a）按照[賦值：云服務商定義的頻率]對審計記錄進行審查和分析，以發(fā)現(xiàn)[賦值：云服務商定義的不當或異?；顒覿，并向[賦值：云服務商定義的人員或角色]報告。11.6風險評估與持續(xù)監(jiān)控策略與規(guī)程一般要求b）按照[賦值：云服務商定義的頻率]或當需要時，審查和更新綜合風險管理策略、風險評估策略、持續(xù)性的監(jiān)控策略及相關規(guī)程。12.1風險評估一般要求b）按照[賦值：云服務商定義的頻率]定期開展風險評估，或者在信息系統(tǒng)或運行環(huán)境發(fā)生重大變更（包括發(fā)現(xiàn)新的威脅和漏洞）時，或者在出現(xiàn)其他可能影響系統(tǒng)安全狀態(tài)的條件時，重新進行風險評估。

c）將評估結果記錄在風險評估報告中，并將風險評估結果發(fā)布至[賦值：云服務商定義的人員或角色]。

d）根據(jù)風險評估報告，有針對性地對云計算平臺信息系統(tǒng)進行安全整改，將風險降低到[賦值：云服務商定義的可接受的水平]。12.2脆弱性掃描一般要求a）使用脆弱性掃描工具和技術，按照[賦值：云服務商定義的頻率]對云計算平臺信息系統(tǒng)及其上的應用程序進行脆弱性掃描，并標識和報告可能影響該系統(tǒng)或應用的新漏洞。

b）根據(jù)風險評估或脆弱性掃描結果，在[賦值：云服務商定義的響應時間段]內修復漏洞。12.3增強要求a）確保所使用的脆弱性掃描工具具有迅速更新漏洞庫的能力。

b）按[選擇：[賦值：云服務商定義的頻率]；啟動新的掃描前；新的漏洞信息發(fā)布后]更新信息系統(tǒng)漏洞庫。d）在脆弱性掃描活動中，使用特權賬號對[賦值：云服務商定義的信息系統(tǒng)組件]進行[賦值：云服務商定義的脆弱性掃描行動]，以實現(xiàn)更全面掃描。c）確保所使用的脆弱性掃描工具能夠展現(xiàn)掃描所覆蓋的廣度和深度（如已掃描的信息系統(tǒng)組件和已核查的漏洞）。持續(xù)監(jiān)控一般要求a）制定持續(xù)性的監(jiān)控策略，并實施持續(xù)性監(jiān)控，內容包括：

1）確定待監(jiān)控的度量指標。

2）確定監(jiān)控頻率。

c）根據(jù)持續(xù)性監(jiān)控策略，對已定義的度量指標進行持續(xù)的安全狀態(tài)監(jiān)控。

d）對評估和監(jiān)控產(chǎn)生的安全相關信息進行關聯(lián)和分析。

e）對安全相關信息分析結果進行響應。12.4f）按照[賦值：云服務商定義的頻率]向[賦值：云服務商定義的人員或角色]報告信息系統(tǒng)安全狀態(tài)。增強要求云服務商應每年安排實施未事先聲明的滲透性測試以及深度檢測，以驗證系統(tǒng)的安全狀態(tài)。信息系統(tǒng)監(jiān)測一般要求a）能夠針對[賦值：云服務商定義的監(jiān)測目標]，發(fā)現(xiàn)攻擊行為。

b）能夠檢測出非授權的本地、網(wǎng)絡和遠程連接。

c）能夠通過[賦值：云服務商定義的技術和方法]，發(fā)現(xiàn)對信息系統(tǒng)的非授權使用。

d）能夠對入侵監(jiān)測工具收集的信息進行保護，防止非授權訪問、修改或刪除。

e）當威脅環(huán)境發(fā)生變化、信息系統(tǒng)風險增加時，提升信息系統(tǒng)監(jiān)測級別。

f）確保信息系統(tǒng)監(jiān)控活動符合關于隱私保護的相關政策法規(guī)。

g）按照需要或[賦值：云服務商定義的頻率]，向[賦值：云服務商定義的人員或角色]提供[賦值：云服務商定義的信息系統(tǒng)監(jiān)控信息]。12.5增強要求a）使用自動工具對攻擊事件進行準實時分析。

b）信息系統(tǒng)應按照[賦值：云服務商定義的頻率]監(jiān)測進出的通信，以發(fā)現(xiàn)異常或非授權的行為。

c）當下述跡象發(fā)生時，信息系統(tǒng)應向[賦值：云服務商定義的人員或角色]發(fā)出警報：

1）受保護的信息系統(tǒng)文件或目錄在沒有得到正常的變更或配置管理渠道通知的情況下被修改。

2）當發(fā)生異常資源消耗時。

3）審計功能被禁止或修改，導致審計可見性降低。

4）審計或日志記錄在無法解釋的情況下被刪除或修改。

5）預期之外的用戶發(fā)起了資源或服務請求。

6）信息系統(tǒng)報告了管理員或關鍵服務賬號的登錄失敗或口令變更情況。

7）進程或服務的運行方式與系統(tǒng)的一般情況不符。

8）在生產(chǎn)系統(tǒng)上保存或安裝與業(yè)務無關的程序、工具、腳本。

d）防止非授權用戶繞過入侵檢測和入侵防御機制。

e）對信息系統(tǒng)運行狀態(tài)（包括CPU、內存、網(wǎng)絡）進行監(jiān)視，并能夠對資源的非法越界使用發(fā)出警報。垃圾信息監(jiān)測一般要求a）在系統(tǒng)的出入口和網(wǎng)絡中的工作站、服務器或移動計算設備上部署垃圾信息監(jiān)測與防護機制，以檢測并應對電子郵件、電子郵件附件、web訪問或其他渠道的垃圾信息。

b）在出現(xiàn)新的發(fā)布包時，及時更新垃圾信息監(jiān)測與防護機制。12.6安全組織與人員安全組織一般要求a）建立管理框架來啟動和控制組織內信息安全的實現(xiàn)：

1）設立[賦值：云服務商定義的人員或角色]作為信息安全的第一負責人，由本組織最高管理層人員擔任。

2）設立[賦值：云服務商定義的部門]作為信息安全的責任部門，并通過[賦值：云服務商定義的機制]與本組織其他業(yè)務部門協(xié)調。

b）建立[賦值：云服務商定義的機制]，以保持與[賦值：云服務商定義的外部組織]的適當聯(lián)系。

c）實施內部威脅防范程序，包括跨部門的內部威脅事件處理團隊。13.2安全規(guī)章制度一般要求a）制定信息安全規(guī)章制度，并傳達至內外部相關人員。

b）在信息安全策略或計劃發(fā)生變更時，或者按照[賦值：云服務商定義的頻率]，評審和更新信息安全規(guī)章制度，以確保其持續(xù)的適用性和有效性。13.4人員篩選一般要求a）確保授權訪問信息系統(tǒng)的人員已經(jīng)經(jīng)過篩選，人員背景信息和篩選結果應可供客戶查閱。

b）按照[賦值：云服務商定義的再篩選條件和頻率]，審查訪問人員的再篩選結果。13.6訪問協(xié)議一般要求a）制定云計算平臺的訪問協(xié)議。

b）按照[賦值：云服務商定義的頻率]，評審和更新該訪問協(xié)議。

c）確保云計算平臺的訪問人員：

1）在被授予訪問權之前，簽署合適的訪問協(xié)議。

2）根據(jù)工作需要，或者按照[賦值：云服務商定義的頻率]，重新簽署訪問協(xié)議。13.9安全培訓一般要求a）在以下情況下為信息系統(tǒng)用戶（包括管理層人員和合同商）提供基礎的安全意識培訓：

1）作為新用戶初始培訓的一部分。

2）在因信息系統(tǒng)變更而需要時。

3）按照[賦值：云服務商定義的頻率]。

b）在以下情況下為被分配了安全角色和職責的人員提供基于角色的安全技能培訓：

1）在授權訪問信息系統(tǒng)或者執(zhí)行所分配的職責之前。

2）在因信息系統(tǒng)變更而需要時。

3）按照[賦值：云服務商定義的頻率]。

d）按照[賦值：云服務商定義的時間段]，保存人員的培訓記錄。13.12物理與環(huán)境安全物理環(huán)境訪問授權一般要求a）制定和維護具有機房訪問權限的人員名單。14.4c）按照[賦值：云服務商定義的頻率]對授權人員名單和憑證進行審查。物理環(huán)境訪問控制一般要求a）對所有機房的[賦值：云服務商定義的機房出入點]實施物理訪問授權，具體包括：在準許進入機房前驗證其訪問授權、使用[賦值：云服務商定義的物理訪問控制系統(tǒng)或設備]或警衛(wèi)實施機房出入控制等。

b）制定和維護[賦值：云服務商定義的出入點]的物理訪問審計日志。14.5f）按照[賦值：云服務商定義的頻率]對[賦值：云服務商定義的物理訪問設備]進行盤點。

g）按照[賦值：云服務商定義的頻率]或在鑰匙丟失、訪問憑證受損以及相關人員發(fā)生變動的情況下，更換鑰匙和訪問憑證。物理訪問監(jiān)控一般要求b）按照[賦值：云服務商定義的頻率]，或當[賦值：云服務商定義的事件發(fā)生或有跡象發(fā)生]時，對物理訪問日志進行審查。14.8訪客訪問記錄一般要求a）制定和維護云計算平臺機房的訪客訪問記錄，并保留至[賦值：云服務商定義的時間段]。

b）按照[賦值：云服務商定義的頻率]對訪問記錄進行審查。14.9溫濕度控制能力一般要求a）維護云計算平臺所在機房的溫濕度，使其符合GB50174-2008《電子信息系統(tǒng)機房設計規(guī)范》的相關規(guī)定。

b）實時監(jiān)控溫濕度水平。14.13附錄B

（資料性附錄）

運行監(jiān)管交付件模版B.1安全控制報告表云服務商應逐項對照附錄A的各項要求的實現(xiàn)情況在表B.1中進行說明。安全控制報告表云服務商云服務商名稱云計算服務名稱安全能力安全類安全項安全屬性□一般要求□增強要求章節(jié)號內容描述：（對內容中給出的賦值和選擇項，需在表格中明確列出賦值和選擇的具體參數(shù)）安全措施措施名稱作用范圍□通用□專用□混用安全控制措施說明：（對采用的安全控制措施的功能、效果及可用性等特性進行說明）擬提供的證據(jù)（可另附頁）（能證明安全控制措施有效性的說明）B.2重大變更報告表對于計劃中的重大變更，云服務商應在計劃實施之前，以與運行監(jiān)管方約定的時間內，在B.2表中進行說明。重大變更報告表云服務商云服務商名稱云計算服務名稱云服務客戶安全能力要求□一般□增強服務模式□軟件即服務（SaaS）□平臺即服務(PaaS)□基礎設施即服務(Iaas)□其他（