4.5 安全要求的調整

本標準提出的安全要求是通常情況下云服務商應具備的基本安全能力。在具體的應用場景下，云服務商有可能需要對這些安全要求進行調整。調整的方式有：

• 刪減：未實現某項安全要求，或只實現了某項安全要求的一部分。

• 補充：某項安全要求不足以滿足云服務商的特定安全目標，故增加新的安全要求，或對標準中規定的某項安全要求進行強化。

• 替代：使用其他安全要求替代標準中規定的某項安全要求，以滿足相同的安全目標。

調整的原因有多種，例如：

• 已知某些目標客戶有特殊的需求。

• 云服務商的安全責任因SaaS、PaaS和IaaS這3種不同的云計算模式而不同，云服務商為了實現本標準中規定的安全要求，所選擇的安全措施的實施范圍、實施強度可能不同。

• 出于成本等因素考慮，云服務商可能希望實現替代性的安全要求。

• 云服務商希望表現更強的安全能力，以便于吸引客戶。