7.9 訪問控制的實施

7.9.1 一般要求

云服務商應：

a）對云計算平臺上信息和系統資源的邏輯訪問進行授權。

b）在對訪問進行授權時應符合[賦值：云服務商定義的職責分離規則]。

7.9.2 增強要求

針對所有主體和客體，云服務商應實施[賦值：云服務商定義的強制訪問控制策略]，該策略應規定：

a）針對信息系統范圍內所有主體和客體，統一執行策略。

b）已獲得信息訪問權的主體，應限制其實施以下任何行為：

1）將信息傳遞給非授權的主體和客體。

2）將權限授予其他主體。

3）變更主體、客體、信息系統或組件的安全屬性。

4）對新創建或修改后的客體，變更其已經關聯的安全屬性。

5）變更訪問控制管理規則。

c）針對[賦值：云服務商定義的主體]，可明確授予[賦值：云服務商定義的特權（即將其作為可信主體）]，以便其不被b）條的部分或全部條件所約束。