5.9 開發商安全體系架構

5.9.1 一般要求

無。

5.9.2 增強要求

云服務商應：

a）要求信息系統、組件或服務的開發商制定設計規范和安全架構，且符合下列條件：

1）該架構應符合或支持云服務商的安全架構。

2）準確完整地描述了所需的安全功能，并且為物理和邏輯組件分配了安全措施。

3）說明各項安全功能、機制和服務如何協同工作，以提供完整一致的保護能力。

b）要求信息系統、組件或服務的開發商提供云服務所需的相關信息，說明與安全相關的硬件、軟件和固件。

c）要求信息系統、組件或服務的開發商編制非形式化的高層說明書，說明安全相關的硬件、軟件和固件的接口，并通過非形式化的演示，說明該高層說明書完全覆蓋了與安全相關的硬件、軟件和固件的接口。

d）在構造安全相關的硬件、軟件和固件時，要求信息系統、組件或服務的開發商考慮便于測試、便于實現最小特權訪問控制等因素。