4.4 安全要求的表述形式

本標準將云計算服務安全能力要求分為一般要求和增強要求。政府部門應對擬遷移至云計算平臺的信息和業務進行分析，按照信息的敏感程度和業務的重要程度選擇相應安全能力水平的云服務商。GB/T AAAAA-AAAA給出了信息、業務類型與安全保護要求之間的對應關系。

本標準中每一項安全要求均以一般要求和增強要求的形式給出。增強要求是對一般要求的補充和強化。在實現增強要求時，一般要求應首先得到滿足。

有的安全要求只列出了增強要求，一般要求標為“無”。這表明具有一般安全能力的云服務商可以不實現此項安全要求。

即使對同等安全能力水平的云服務商，其實現安全要求的方式也可能會有差異。為此，本標準在描述安全要求時引入了“賦值”和“選擇”這兩種變量，并以[賦值：……]和[選擇：……；……]的形式給出。“賦值”表示云服務商在實現安全要求時，要由其定義具體的數值或內容。“選擇”表示云服務商在實現安全要求時，應選擇一個給定的數值或內容。

云服務商在向客戶提供云計算服務前，應確定并實現“賦值”和“選擇”的具體數值或內容。

“賦值”和“選擇”示例如下：

云服務商應在[賦值：云服務商定義的時間段]后自動[選擇：刪除；禁用]臨時和應急賬號。