4.6 安全計劃

為了建立向客戶提供安全的云計算服務的能力，云服務商應制定安全計劃，詳細說明對本標準提出的安全要求的實現情況。云服務商應在安全計劃中對“賦值”和“選擇”給出具體的數值或內容，必要時還需對本標準提出的安全要求進行調整。

當云計算平臺提供多個應用或服務時，云服務商應分別制定每個應用或服務的安全計劃。

安全計劃包括但不限于以下內容：

• 云計算平臺的基本描述，包括：

• • 系統拓撲。
• • 系統運營單位。
• • 與外部系統的互連情況。
• • 云服務模式和部署模式。
• • 系統軟硬件清單。
• • 數據流等。

• 為實現本標準規定的安全要求而采取的安全措施的具體情況。對每項安全要求，云服務商均應在以下6個選項中選擇其一作為對實現情況的整體描述，并針對性地提供詳細說明：

• • 滿足。此種情況下，應說明為滿足安全要求而采取的具體措施。
• • 部分滿足。此種情況下，對已滿足的安全要求應說明所采取的具體措施，對不滿足的安全要求應說明理由。
• • 計劃滿足。此種情況下，應說明時間進度安排以及在此期間的風險管控措施。
• • 替代。此種情況下，應說明替代理由并說明所實現的安全目標與原安全要求之間的關系。
• • 不滿足。此種情況下，應說明不滿足的理由。
• • 不適用。此種情況下，應說明不適用的理由。

• 對云服務商新增的安全目標及對應的安全措施的說明。

• 對客戶安全責任的說明，以及對客戶應實施的安全措施的建議。

安全計劃應提交給第三方評估機構和客戶。

附錄A給出了安全計劃的模板。