引??言

GB/T 31168－2014《信息安全技術 云計算服務安全能力要求》對云服務商提出了基本安全能力要求，反映了云服務商在保障云計算環境中客戶信息和業務的安全時應具備的基本能力。GB/T 31168－2014將云計算服務安全能力要求分為一般要求和增強要求，增強要求是對一般要求的補充和強化。在實現增強要求時，一般要求應首先得到滿足。有的安全要求只列出了增強要求，一般要求標為“無”。這表明具有一般安全能力的云服務商可以不實現此項安全要求。在具體的應用場景下，云服務商也可采用刪減、補充、替代等多種方式對安全要求進行調整。

本標準是GB/T31168－2014的配套標準，對應于GB/T31168－2014的第5章至第14章規定的要求，本標準也從第5章至第14章給出了相應的評估方法。本標準主要為第三方評估機構開展云計算服務安全能力評估提供指導。第三方評估機構可采用訪談、檢查、測試等多種方式，制定相應安全評估方案，并實施安全評估。