4.3 安全要求的分類

本標準對云服務商提出了基本安全能力要求，反映了云服務商在保障云計算環境中客戶信息和業務的安全時應具備的基本能力。這些安全要求分為10類，每一類安全要求包含若干項具體要求。

10類安全要求分別是：

• 系統開發與供應鏈安全：云服務商應在開發云計算平臺時對其提供充分保護，對信息系統、組件和服務的開發商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供有關安全措施的文檔和信息，配合客戶完成對信息系統和業務的管理。

• 系統與通信保護：云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信，并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。

• 訪問控制：云服務商應嚴格保護云計算平臺的客戶數據，在允許人員、進程、設備訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制其可執行的操作和使用的功能。

• 配置管理：云服務商應對云計算平臺進行配置管理，在系統生命周期內建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現云計算平臺中各類產品的安全配置參數。

• 維護：云服務商應維護好云計算平臺設施和軟件系統，并對維護所使用的工具、技術、機制以及維護人員進行有效的控制，且做好相關記錄。

• 應急響應與災備：云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析和控制及系統恢復等，對事件進行跟蹤、記錄并向相關人員報告。云服務商應具備容災恢復能力，建立必要的備份與恢復設施和機制，確保客戶業務可持續。

• 審計：云服務商應根據安全需求和客戶要求，制定可審計事件清單，明確審計記錄內容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的非授權訪問、修改和刪除行為。

• 風險評估與持續監控：云服務商應定期或在威脅環境發生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。云服務商應制定監控目標清單，對目標進行持續安全監控，并在發生異常和非授權情況時發出警報。

• 安全組織與人員：云服務商應確保能夠接觸客戶信息或業務的各類人員（包括供應商人員）上崗時具備履行其安全責任的素質和能力，還應在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調動或離職時履行安全程序，對于違反安全規定的人員進行處罰。

• 物理與環境保護：云服務商應確保機房位于中國境內，機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。