5.4 采購過程

5.4.1 一般要求

云服務商應根據相關法律、法規、政策和標準的要求，以及可能的客戶需求，并在風險評估的基礎上，將以下內容列入信息系統采購合同：

a）安全功能要求。

b）安全強度要求。

c）安全保障要求。

d）安全相關文檔要求。

e）保密要求。

f）開發環境和預期運行環境描述。

g）驗收準則。

h）強制配置要求，如功能、端口、協議和服務。

5.4.2 增強要求

云服務商應：

a）要求信息系統、組件或服務的開發商對其使用的安全措施進行功能描述，如安全功能或機制。

b）要求信息系統、組件或服務的開發商提供所使用的安全措施的設計和實現信息，根據實際情況，可包括：[選擇：與安全相關的外部系統接口；高層設計；低層設計；源代碼或硬件原理圖；[賦值：云服務商定義的其他設計或實現信息]]，應滿足[賦值：云服務商定義的詳細程度]。

c）要求信息系統、組件或服務的開發商提供證據，證明其在系統生命周期中使用了[賦值：云服務商定義的系統工程方法、軟件開發方法、測試技術和質量控制過程]。

d）要求信息系統、組件或服務的開發商在交付信息系統、組件或服務時實現[賦值：云服務商定義的安全配置]，且這些安全配置應作為信息系統、組件或服務在重新安裝或升級時的缺省配置。

e）要求信息系統、組件或服務的開發商制定對安全措施有效性的持續監控計劃，應滿足[賦值：云服務商定義的詳細程度]。

f）要求信息系統、組件或服務的開發商在系統生命周期的早期階段說明系統中的功能、端口、協議和服務，云服務商應禁用不必要或高風險的功能、端口、協議或服務。