信息安全技術(shù)云計算服務(wù)安全能力評價方法

意見匯總處理表標(biāo)準(zhǔn)項目名稱：《信息安全技術(shù)云計算服務(wù)安全能力評估方法》承辦人：王惠蒞共23頁標(biāo)準(zhǔn)項目負(fù)責(zé)起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院電話：12016年6月13日填寫序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注標(biāo)準(zhǔn)草案，2015年5月20日發(fā)編制組內(nèi)部征求意見1.依據(jù)當(dāng)前評估條目的適用性，提取共性項，對僅適用于特殊場景下的評估點標(biāo)注其使用建議，或單獨章節(jié)形成特定測評點要求。CETC30所未采納。對服務(wù)類型進行區(qū)分超出本標(biāo)準(zhǔn)的范圍。2.當(dāng)前稿中涉及的角色稱謂名稱較多，各稱謂代表的對象范疇沒有明示，容易混淆，比如用戶、客戶、租戶之間的差異。修改建議：對用戶、租戶、客戶、外部人員、特權(quán)用戶、特權(quán)賬戶等各稱謂明確含義范疇，規(guī)范其使用。CETC30所未采納。按照《能力要求》相關(guān)規(guī)定。3.1建議將“對以社會化方式”去掉阿里云計算有限公司未采納。與《能力要求》保持一致。4.4.1綜合考慮原則不是原則，可重復(fù)和可充用、可再現(xiàn)比較理想，比較難實現(xiàn)。中國信息安全測評中心部分采納。5.4.1建議改為“米用或參考其已有的公正第三方的測評結(jié)果”。阿里云計算有限公司部分采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注6.4.1建議改為“靈活是指在對云服務(wù)商進行安全控制措施裁剪、替換等情況下，”阿里云計算有限公司未采納。應(yīng)是由云服務(wù)商裁剪、替換安全控制措施等。7.4.2增加相應(yīng)章節(jié)，1、描述安全評估系統(tǒng)要求，安全配件要求。成都大學(xué)未采納。本標(biāo)準(zhǔn)只規(guī)范評估方法，不涉及評估系統(tǒng)。8.建議修改格式，“涉及”格式為斜體國家信息技術(shù)安全研究中心采納。9.5.3.1a)修改建議：檢查云服務(wù)商是否定義系統(tǒng)生命周期、并定義生命周期各節(jié)點及特征；西安未來國際有限公司未采納。系統(tǒng)生命周期定義可參考已有國標(biāo)。10.5.4.2f)修改建議：檢查開發(fā)商提供的說明文檔是否有對功能、端口、協(xié)議和服務(wù)的詳細(xì)說明，并列出不必要和高風(fēng)險的功能、端口、協(xié)議或服務(wù)，并查看是否已禁用。西安未來國際有限公司采納。11.修改建議：測試應(yīng)用信息系統(tǒng)設(shè)計、開發(fā)、實現(xiàn)和修改過程中的機制，是否實現(xiàn)自動化機制。國家信息技術(shù)安全研究中心未采納?！赌芰σ蟆凡簧婕白詣踊瘷C制12.5.9.2b)將“得”改為“的”國家信息技術(shù)安全研究中心采納。13.5.10.2c)5.10.2f)修改建議：增加句號。國家信息技術(shù)安全研究采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注中心14.5.11.1a）評估方法修改建議：測試系統(tǒng)、組件或服務(wù)的在設(shè)計、開發(fā)、實現(xiàn)、運行過程中的配置管理方式，是否實現(xiàn)自動化管理。國家信息技術(shù)安全研究中心未采納。15.5.12.2a)修改建議：檢查開發(fā)階段所使用的靜態(tài)代碼分析工具配置；西安未來國際有限公司部分采納。16.5.12.2e)修改建議：檢查開發(fā)商的滲透性測試相關(guān)文檔（測試計劃、測試報告）西安未來國際有限公司未采納。只看報告就能體現(xiàn)。17.6.2.1b）評估方法是否對外公開的組件與內(nèi)部網(wǎng)絡(luò)劃分為不同的子網(wǎng)絡(luò)，阿里云計算有限公司采納。18.6.2.2a）評估方法搭建物理獨立的計算資源池、存儲資源池和網(wǎng)絡(luò)資源池阿里云計算有限公司未采納。同《能力要求》描述方式。19.6.2.2b)——測試是否具有對大規(guī)模攻擊流量進行清洗或防護的能力。阿里云計算有限公司未采納。原評估方法中已經(jīng)包含此內(nèi)容。20.6.2.2d)檢查外部通信接口授權(quán)審批策略；西安未來國際有限公司采納。21.——檢查安全計劃書、安全設(shè)計文檔，是否使用符合國家密碼管理法律法規(guī)的通信加密和簽名驗簽算法及設(shè)施，是否有國家密碼管理局認(rèn)定測評機構(gòu)出具的檢測報告或證書。CETC30所采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注——測試云服務(wù)商所使用到的通信加密和簽名驗簽設(shè)施是否與設(shè)計文檔要求相一致；22.建議收斂測試方法，因密碼設(shè)備測試認(rèn)可一套嚴(yán)格管理規(guī)定，建議以審查相關(guān)權(quán)威機構(gòu)發(fā)放的認(rèn)可證書為準(zhǔn)。（具體需要進一步落實國家密碼管理局、涉密信息系統(tǒng)相關(guān)管理規(guī)定）。CETC30所采納。23.修改建議：增加--測試云計算平臺用戶和系統(tǒng)安全功能之間是否建立了一條可信的通信路徑。CETC30所采納。24.6.8.2b)修改建議：驗證禁止自動執(zhí)行機制是否有效；西安未來國際有限公司采納。云服務(wù)的云服務(wù)管理平臺難于驗證。25.修改建議：對6.11.1c）的評估方法增加--在網(wǎng)絡(luò)出入口以及系統(tǒng)中的主機、移動計算設(shè)備上放置一段惡意代碼，測試防護措施是否能夠檢測并予以響應(yīng)。CETC30所未采納。原評估方法已包括該內(nèi)容。26.6.11.2b)修改建議：檢查惡意代碼自動更新記錄，包含版本信息、更新時間等；西安未來國際有限公司采納。27.6.12.2.2修改建議：--測試非授權(quán)代碼是否能夠執(zhí)行；CETC30所采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注28.修改建議：對6.13.1b）的評估方法第三條文字修改為：——測試當(dāng)虛擬機鏡像文件被惡意篡改時，是否有完整性校驗機制能夠防止對鏡像文件的惡意篡改。CETC30所/張玲采納。29.6.13.1b)對6.13.1b）的評估方法第四條修改建議：對6.13.1b）的評估方法第四條文字修改：——測試已經(jīng)被一臺虛擬機掛載的邏輯卷是否能夠被其它虛擬機掛載。CETC30所/張玲采納。30.6.13.1c)對6.13.1c）的評估方法第四條文字修改為：——檢查安全計劃書、信息系統(tǒng)架構(gòu)設(shè)計文檔、或其他相關(guān)文檔是否提供虛擬機只能訪問分配給該虛擬機的物理磁盤的技術(shù)機制；CETC30所采納。31.6.13.1c)修改建議：的評估方法為第五條和第六條建議刪除。CETC30所采納。32.6.13.1d)修改建議：對6.13.1d）的評估方法為第二條建議刪除。CETC30所采納。33.6.13.2d)對6.13.2d）的評估方法第三條：修改建議：對6.13.2d）的評估方法第三條：修改為——在物理機操作系統(tǒng)上讀取虛擬機鏡像文件，查看是否進行加密保護；CETC30所部分采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注34.6.13.2d)修改建議：6.13.2d）的評估方法第四條刪除。CETC30所采納。35.6.14.1a)修改建議：對6.14.1a）的第二條評估方法修改為：——檢查虛擬網(wǎng)絡(luò)資源實際配置是否與文檔中規(guī)定的網(wǎng)絡(luò)隔離和訪問控制策略相符；——對虛擬網(wǎng)絡(luò)資源進行數(shù)據(jù)訪問或網(wǎng)絡(luò)掃描，測試網(wǎng)絡(luò)隔離和訪問控制措施是否生效。CETC30所采納。36.6.14.1b)修改建議：第二條與第三條建議合并，并修改文字。對6.14.1b）的評估方法修改為：——檢查安全計劃書、信息系統(tǒng)架構(gòu)設(shè)計文檔、或其他相關(guān)文檔是否為訪問云服務(wù)的網(wǎng)絡(luò)和內(nèi)部管理云的網(wǎng)絡(luò)之間采取隔離和訪問控制措施；——檢查實際的網(wǎng)絡(luò)資源配置是否與文檔所規(guī)定的網(wǎng)絡(luò)隔離和訪問控制策略相符?！谠L問云服務(wù)的網(wǎng)絡(luò)和內(nèi)部管理云的網(wǎng)絡(luò)之間嘗試進行數(shù)據(jù)交互或是網(wǎng)絡(luò)掃描，檢測網(wǎng)絡(luò)間的隔離和訪問控制措施是否生效。CETC30所采納。37.6.15.1c)第三條和第四條為第二條的測試用例和場景，放在這里過細(xì)。建議刪除，并對第二條進行文字修改。修改建議：CETC30所采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注對6.15.1c）的評估方法為：——檢查安全計劃書、信息系統(tǒng)架構(gòu)設(shè)計文檔、或其他相關(guān)文檔，是否對不同客戶所使用的虛擬存儲資源之間有邏輯隔離的機制?！獪y試客戶是否無法發(fā)現(xiàn)并訪問其他客戶所使用的存儲資源，客戶間的存儲資源訪問性能是否相互影響。38.6.15.1d)對6.15.1d）的評估方法的第三條和第四條內(nèi)容重復(fù)。建議合并修改建議：對6.15.1d）的評估方法第三條和第四條修改為：——在租戶解除存儲資源的使用后，例如釋放存儲空間、虛擬機遷移或刪除等，檢測原物理存儲資源上的數(shù)據(jù)（如鏡像文件、快照文件、備份文件等數(shù)）是否被清除。CETC30所采納。39.6.15.1e)修改建議：對6.15.1e）的評估方法第二條修改為：——模擬虛擬存儲數(shù)據(jù)的常規(guī)操作和異常操作，檢測是否有審計記錄，審計記錄信息要素是否完備，審計記錄是否不能被修改和刪除。CETC30所未采納。標(biāo)準(zhǔn)是宏觀共性的評估方法，不涉及具體用例。40.6.15.2a)修改建議：對6.15.2a）的評估方法第二條修改為：——檢查存儲協(xié)議級數(shù)據(jù)訪問授權(quán)策略配置信息CETC30所采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注是否與文檔規(guī)定的授權(quán)機制相符；——以非授權(quán)用戶或方式進行存儲協(xié)議級數(shù)據(jù)訪問，測試是否成功。41.6.15.2b)修改建議：對6.15.2b）的評估方法修改為——檢查安全計劃書、信息系統(tǒng)架構(gòu)設(shè)計文檔、或其他相關(guān)文檔，檢查或分析是否提供了一定機制以便客戶部署滿足國家密碼管理規(guī)定的數(shù)據(jù)加密方案用以保護客戶的私有數(shù)據(jù)。CETC30所采納。42.e)修改建議：e）的評估方法為修改為：——在［賦值：云服務(wù)商定義的時間段］用戶處于不活動狀態(tài)，測試該用戶是否被禁止使用。CETC30所采納。43.b)修改建議：b）的評估方法為第一條：——檢查訪問腳本是否包含未加密的靜態(tài)鑒別憑證。CETC30所采納。44.c)修改建議：c）的評估方法為第二條修改為：——查看接收記錄，當(dāng)接收憑證時是否經(jīng)過本人或可信第三方確認(rèn)。CETC30所采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注45.7.8.1a)檢查賬號管理員角色是否與自然人綁定、責(zé)任明確；西安未來國際有限公司未采納。評估方法按照《能力要求》的評估內(nèi)容來定。46.修改建議：b）的評估方法為：——檢查遠程訪問會話是否采取相關(guān)密碼機制保證遠程會話的機密性和完整性?！镁W(wǎng)絡(luò)抓包等技術(shù)手段測試會話數(shù)據(jù)是否進行了加密保護。CETC30所采納。47.7.21.1a)檢查是否列出了何種情況可以授權(quán)外部訪問云平臺；西安未來國際有限公司采納。48.b)檢查是否列出了何種情況可以授權(quán)外部訪問對云計算平臺上的信息進行處理、存儲或存儲；西安未來國際有限公司采納。49.)檢查配置管理計劃的保護措施是否可以防止非授權(quán)的泄露和變更。西安未來國際有限公司采納。50.8.4.2.b檢查云計算平臺相關(guān)設(shè)備系統(tǒng)的日志、配置記錄等信息，證明對云計算平臺上的變更實施物理和邏輯訪問控制；西安未來國際有限公司未采納。原評估方法已經(jīng)包含了此內(nèi)容。51.8.5.2.a設(shè)置測試用例測試自動機制可以有效地對配置參數(shù)進行集中管理、應(yīng)用和驗證的功能。西安未來國際有限公司未采納。原評估方法已經(jīng)包含了此內(nèi)容。52.8.6.1.a將云計算平臺必需功能對應(yīng)的驗收報告、功能白皮書等說明文檔與云平臺現(xiàn)有配置進行比對，證明對云計算平臺按照僅提供必需功能進行配置。西安未來國際有限公司未采納。云計算平臺配置非常繁雜，一一驗證難以實現(xiàn)。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注53.e檢查是否有強制手段確保在遠程維護完成后是否終止會話和網(wǎng)絡(luò)連接。西安未來國際有限公司未采納。不強調(diào)使用強制手段。54.檢查是否建立備品備件列表并對備件進行抽樣檢測確保具可用性。西安未來國際有限公司部分采納。55.a檢查應(yīng)急響應(yīng)計劃文檔，查看其是否包含了容量規(guī)劃的內(nèi)容；檢查容量規(guī)劃文檔是否明確了必要的信息處理容量、通信容量和環(huán)境支持能力。西安未來國際有限公司未采納。原評估方法已體現(xiàn)。56.檢查異地系統(tǒng)級熱備設(shè)計文檔、管理平臺，對熱備設(shè)施進行測試驗證是否按照云服務(wù)商定義的頻率對系統(tǒng)級信息進行增量備份，是否按照云服務(wù)商定義的頻率對系統(tǒng)級信息進行全量備份。西安未來國際有限公司部分采納。57.a)——檢查實際的脆弱性掃描工具，查看其是否開啟了自動升級功能，當(dāng)前使用漏洞庫的發(fā)布時間、版本。西安未來國際有限公司部分采納。58.c)——檢查風(fēng)險評估和持續(xù)監(jiān)控策略，是否明確定義了脆弱性掃描額廣度和深度；——檢查脆弱性掃描工具掃描策略，所定義的掃描廣度和深度是否滿足系統(tǒng)風(fēng)險評估安全策略要求?！獧z查脆弱性掃描歷史結(jié)果，核查掃描使用的策略是否滿足系統(tǒng)風(fēng)險評估安全策略要求。西安未來國際有限公司未采納。評估方法按照《能力要求》的評估內(nèi)容來定。59.a)——檢查管理垃圾信息機制是否有集中管控的手段。——檢查管理垃圾信息機制集中管控的手段是否有效。西安未來國際有限公司采納。60.b)——檢查管理垃圾信息機制是否有自動升級功能?！獧z查管理垃圾信息機制歷史升級記錄。西安未來國際有限公司采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注標(biāo)準(zhǔn)草案，2015年6月11日，信安標(biāo)委秘書處中期檢查61.建議評估方法能夠細(xì)化，能夠支撐GB/T31168落地。顧建國張建軍左曉棟采納。62.建議圍繞落實GB/T31168附件中系統(tǒng)安全計劃模版編制。張建軍采納。63.應(yīng)增強訪談方法的應(yīng)用。杜虹采納。64.術(shù)語應(yīng)紜杜虹卿斯?jié)h采納。65.在具體標(biāo)準(zhǔn)項評估方法中，應(yīng)將訪談、檢查、測試分開。左曉棟采納。66.能否將Iaas、PaaS、SaaSt!行分類。左曉棟未米納。不是本標(biāo)準(zhǔn)的范圍。67.建議將標(biāo)準(zhǔn)英乂名稱assessment改為evaluation。崔書昆未采納。參照GB/T25069的術(shù)語。68.引言建議引言的第一段刪掉。馮惠采納。69.建議增加整體框圖卿斯?jié)h未采納。評估階段的劃分比較簡單，描述即較容易理解。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注70.2規(guī)范性引用文件添加GB/T25069馮惠采納。71.4.2明確評估依據(jù)，評估內(nèi)容等，應(yīng)與第五章有對應(yīng)馮惠采納。標(biāo)準(zhǔn)草案，2015年7月30日，信安標(biāo)委秘書處專家評審72.這個標(biāo)準(zhǔn)本身是標(biāo)準(zhǔn)符合性測試，是過程導(dǎo)向的。但是審查是結(jié)果導(dǎo)向的，如果按照這個審，不容易審出來。李京春部分采納。標(biāo)準(zhǔn)給出針對《能力要求》的對應(yīng)評估方法，審查時可參考，并按照相關(guān)規(guī)定審查。73.標(biāo)準(zhǔn)中有的有一般要求，有的沒有一般要求，有的有增強，有的沒有增強，這樣很亂。例如：防篡改，沒有一般要求，可評估時沒有一般項要求不合適。因此，一般要求即使原標(biāo)準(zhǔn)中沒有要求，評估中也應(yīng)該有。增強的可以沒有。李京春未采納。本標(biāo)準(zhǔn)是《能力要求》的配套標(biāo)準(zhǔn)，一般要求和增強要求與原標(biāo)準(zhǔn)保抒致。74.在法律上有的，在標(biāo)準(zhǔn)中應(yīng)該體現(xiàn)。李京春采納。75.后續(xù)持續(xù)監(jiān)督的內(nèi)容是否要在本標(biāo)準(zhǔn)中體現(xiàn)；李京春采納。76.如何判斷，如何給出判據(jù)，如何打分，是個很重要的問題；而且評估是提高云服務(wù)商的安全能力，應(yīng)該讓云服務(wù)商來J解怎么做是符合要求的。杜虹部分采納。77.評估方法應(yīng)跟能力要求協(xié)調(diào)一致，如果原標(biāo)準(zhǔn)有錯誤，這個改正，但要聲明。崔書昆采納。78.這個標(biāo)準(zhǔn)可以用于審查，但目前這個標(biāo)準(zhǔn)不能和審查緊相關(guān)。崔書昆采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注79.現(xiàn)在很多地方政府都在做云，應(yīng)該讓他們知道這個事，去試用這個標(biāo)準(zhǔn)。崔書昆采納。80.全篇的括號格式未統(tǒng)一，31168用的是中文括號，本標(biāo)準(zhǔn)新增內(nèi)容用的是英文括號左曉棟采納。81.標(biāo)題建議考慮assessment禾口evaluation。崔書昆采納。82.1特定用戶、社會化，要么增加術(shù)語定義，要么不用。肖京華崔書昆陳興蜀閔京華采納，修改“范圍”。83.4.1可重用是指在適用的情況下，對云計算平臺中米購的商業(yè)現(xiàn)貨產(chǎn)品采用或參考其已有的測評結(jié)果。語法不太妥。此外，不僅僅是可重用對現(xiàn)貨產(chǎn)品的測評結(jié)果，對于同一服務(wù)商的平臺，還有很多測評結(jié)果可以重用，例如服務(wù)商自身的信息安全體系等。左曉棟采納。84.4.1保密原則是指測評人員應(yīng)對涉及云服務(wù)商利益的商業(yè)信息嚴(yán)格保密。還有很多信息也要保密。例如云平臺上已有的信息，例如第三方的信息。左曉棟采納。85.4增加描述，將是按照一般要求還是按照增強要求等來進行安全評估與前面的《能力要求》、《指南》等聯(lián)系起來。杜虹采納。86.4關(guān)于一般和增強，如果能力要求中有，可拿過來。評估的內(nèi)容，根據(jù)不同的對象，分為兩級，一般和增強，在崔書昆采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注評估方法中，應(yīng)該有句話來說明，評估才-般能力和增強能力。87.4在具體應(yīng)用三種評估方法中，應(yīng)組合應(yīng)用，可增加這么一句話。杜虹采納。88.4評估實施過程最好畫張圖。卿斯?jié)h崔書昆采納。89.第5章到第14章標(biāo)題同《能力要求》相似，建議增加“評估方法”左曉棟采納。90.——檢查規(guī)劃文檔、設(shè)計文檔、實施文檔、運維文檔等相關(guān)文檔，查看其是否有信息安全風(fēng)險管理內(nèi)容；增加“查看其是否包含風(fēng)險評估報告”。左曉棟采納。91.建議進一步查看云服務(wù)商是否有技術(shù)措施限制協(xié)同設(shè)備插入左曉棟采納。92.要有測試，針對這項要求還應(yīng)制定一批測試用例。左曉棟采納。93.)要有測試左曉棟采納。94.虛擬化的測試是個難點。標(biāo)準(zhǔn)中寫到什么程度？不好把握，建議大家討論。也可以原則些。但如能更加明確，則更好。左曉棟采納。95.應(yīng)該先檢查云服務(wù)商是怎么定義用戶的。定義了哪些用戶？什么角色？如何管理？左曉棟采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注對云平臺而言，“用戶”和“管理員”復(fù)雜化了。例如，云平臺運營者本身有“用戶”和“管理員”的概念，而客戶在使用云時，也有“用戶”和“管理員”的概念。CSP應(yīng)該把這些說清楚。96.7本章中的很多要求，要借助“測試”來驗證，建議梳理本章（及其他可能的章節(jié)）中的“檢查”用語。該改為“測試”的就測試，該增加“測試”的要增加評估方法。左曉棟采納。97.現(xiàn)在這個標(biāo)準(zhǔn)應(yīng)與能力要求緊相關(guān)，增加參考文獻O崔書昆采納。標(biāo)準(zhǔn)草案，2015年8月至2015年9月，標(biāo)準(zhǔn)試用及審查辦意見98.引言第二段標(biāo)準(zhǔn)用途表述不充分，建議調(diào)整結(jié)構(gòu)。國家信息技術(shù)安全研究中心采納。99.全文參考《能力要求》和《指南》，A本標(biāo)準(zhǔn)中人員名稱和文檔名稱中國信息安全測評中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。100.3.2定義中只出現(xiàn)了云計算服務(wù)，并未定義云服務(wù)，但是正文中多次提到云服務(wù)。建議定義云服務(wù)，可明確指出云計算服務(wù)可簡稱女服務(wù)，或?qū)⒅刮闹械呐?wù)統(tǒng)一改為審查辦采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注云計算服務(wù)101.3定義和《能力要求》標(biāo)準(zhǔn)一樣，未針對本標(biāo)準(zhǔn)相關(guān)參與方和活動進行定義，如在4.1、4.2出現(xiàn)評估工作和評估人員等內(nèi)容，在3中無定義。建議在3術(shù)語和定義中增加評估相關(guān)人員或活動的定義。審查辦采納。102.4對現(xiàn)場評估的描述中缺少測試的相關(guān)內(nèi)容。建議增加測試相應(yīng)內(nèi)容。審查辦采納。103.4.1靈活原則描述缺少主語，建議增加主語。國家信息技術(shù)安全研究中心采納。104.4.1“最大程度減少對云服務(wù)商的風(fēng)險”，減少描述不妥當(dāng)，建議改為降低。國家信息技術(shù)安全研究中心采納。105.4.5標(biāo)準(zhǔn)存在第二方機構(gòu)、第二方評估機構(gòu)說法，不夠國家信息技術(shù)安全研究中心采納。106.4.5評估實施過程描述過于簡單，無法較好的指導(dǎo)實施。在評估過程中，溝通需提供的證據(jù)很重要。細(xì)化評估實施過程，增加溝通需提供證據(jù)的內(nèi)容。中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。107.系統(tǒng)開發(fā)與供應(yīng)鏈安全策略和規(guī)程、系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等說法不統(tǒng)一，很多這樣的情況。國家信息技術(shù)安全研究中心采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注108.對b)的評估方法兩個“工作計劃和預(yù)算文件中”，存在重復(fù)。國家信息技術(shù)安全研究中心采納。109.a的評估方法存在標(biāo)點符號錯誤“?！?，建議修改為分號。國家信息技術(shù)安全研究中心采納。110.b的評估方法里面存在標(biāo)點符號錯誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。111.對b)d)的評估方法存在標(biāo)點符號“?！卞e誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。112.對j)的評估方法存在標(biāo)點符號“。”錯誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。113.d)e)的評估方法存在標(biāo)點符號“?！卞e誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。114.c)的評估方法為：(1)檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了在云服務(wù)商定義的頻率或云服務(wù)商定義的情況下，需檢測是否受到篡改的信息系統(tǒng)、組件或設(shè)備；語句不通順，后面多一個“是否”(2)檢查檢測篡改的記錄，查看云服務(wù)商是對所定義國家信息技術(shù)安全研究中心采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注的信息系統(tǒng)、組件或設(shè)備按照要求實施了篡改檢測。語句不通順，缺少一個否。115.e）的評估方法存在標(biāo)點符號“?！卞e誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。116.5.15.2.2b)——檢查報告鷹品組件的記錄等相關(guān)文檔，查看其是否按照要求報告；——訪談所定義的人員和角色等相關(guān)人員，詢問其鷹品組件報告情況。應(yīng)先訪談是否有鷹品組件，然后再檢查。中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。117.c）的評估方法中，訪談無法實現(xiàn)“查看其”內(nèi)容。國家信息技術(shù)安全研究中心采納。118.d）的評估方法存在標(biāo)點符號“；”錯誤，建議修改為句號。國家信息技術(shù)安全研究中心采納。119.f）的評估方法，訪談中多一個保護。國家信息技術(shù)安全研究中心采納。120.g）的訪談內(nèi)容語句不通順，"詢問其確認(rèn)所收到的信息系統(tǒng)或組件真實且未被改動的保護措施實施情況”。國家信息技術(shù)安全研究中心采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注121.g）缺乏對保護措施的檢查。建議：一一檢查所定義的對所收到的信息系統(tǒng)或組件真實且未被改動的保護措施的確認(rèn)記錄等相關(guān)文檔，查看云服務(wù)商是否按規(guī)定實施了保護措施；中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。122.對h）的評估方法存在標(biāo)點符號“。”錯誤，建議修改為分號。國家信息技術(shù)安全研究中心采納。123.m）內(nèi)可能玄服務(wù)商還沒有變更過供應(yīng)商，因此，應(yīng)該先訪談，如果的確有變更，再檢查變更的風(fēng)險控制措施實施情況。中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。124.6.2.2.2i)——測試不同客戶或同一用戶不同業(yè)務(wù)信息系統(tǒng)之間的隔離機制，驗證隔離機制是否有效。國家信息技術(shù)安全研究中心采納。125.6.8.1.2——測試云計算平臺中移動代碼的限制機制，驗證其是否能夠?qū)σ苿哟a的使用進行限制。只是寫“限制”是否要求偏低，如果有限制，但是限制不完善呢？可否改為“驗證其是否能夠?qū)σ苿哟a的使用進行合理限制?！眹倚畔⒓夹g(shù)安全研究中心采納。126.)一一一檢查云計算平臺配置參數(shù)設(shè)置，查看其是否禁止自動執(zhí)行移動設(shè)備上代碼；”，該要求的評估方法中有測試，建議直接采用測試證據(jù)，不需要檢查配置了。中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納。127.6.13.2.2b)——檢查虛擬機跨物理機遷移過程中的保護措施，查看其是否可以提供虛擬機跨物理機遷移保護。“可以”去掉國家信息技術(shù)安全研究中心采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注128.6.14.1.2c)對c）的評估方法為：——檢查虛擬化策略、系統(tǒng)設(shè)計說明書等相關(guān)文檔，查看其是否有對虛擬機的網(wǎng)絡(luò)接口帶寬進行管理的要求；——檢查虛擬機的網(wǎng)絡(luò)接口帶寬管理配置，查看其是否符合帶寬管理的要求。第一句：是否應(yīng)該改為查看對網(wǎng)絡(luò)帶寬進行管理的技術(shù)機制。第二句：是否應(yīng)該改為，測試帶寬管理的技術(shù)機制是否有效？國家信息技術(shù)安全研究中心部分采納。129.對a）的評估方法為：增加如下內(nèi)容：——檢查配置管理計劃，查看其是否按照要求制定并實施了配置管理計劃。國家信息技術(shù)安全研究中心采納。130.又ta）的評估方法改為：———檢查配置管理策略與規(guī)程、配置管理計劃等相關(guān)文檔，查看其是否明確了在系統(tǒng)受控配置列表中應(yīng)包含的云計算平臺的變更配置項；”國家信息技術(shù)安全研究中心采納。131.又td）的評估方法為：———測試禁止非授權(quán)軟件運行的機制，查看是否其禁止了非授權(quán)軟件的運行?！辈煌?，次序需要調(diào)整。國家信息技術(shù)安全研究中心采納。132.———檢查及時維護策略及相關(guān)保障措施，查看列表中的備品備件是否能在系統(tǒng)組件發(fā)生故障的時間段國家信息技術(shù)安全研究采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注內(nèi)投入運性；”錯別字“運性”。中心133.對d）的評估方法改為：———檢查應(yīng)急響應(yīng)計劃，查看其是否有在系統(tǒng)發(fā)生變更或事件響應(yīng)計劃在實施、執(zhí)行或測試中遇到問題時，及時修改應(yīng)急響應(yīng)計劃的要求，查看其是否定義了修改應(yīng)急響應(yīng)計劃后應(yīng)通報的人員、角色或部門；”國家信息技術(shù)安全研究中心采納。134.原文"詢問所所定義機制的落實情況”修改為“詢問所定義機制的落實情況”中國信息安全測評中心采納。135.標(biāo)準(zhǔn)草案，2015年11月24日，信安標(biāo)委秘書處專家評審，形成征求意見稿136.標(biāo)準(zhǔn)是對云服務(wù)商的能力進行評估，還是對云服務(wù)或者云計算平臺進行評估。建議明確標(biāo)準(zhǔn)的定位。卿斯?jié)h閔京華米納。標(biāo)準(zhǔn)定位為對女服務(wù)商在提供玄計算服務(wù)時所具備的安全能力進行評估。137.已發(fā)布的國家標(biāo)準(zhǔn)中，如果已有相關(guān)測試用例的，可在本標(biāo)準(zhǔn)中注明。顧建國采納。138.如果本標(biāo)準(zhǔn)中只是少量引用了別的標(biāo)準(zhǔn)內(nèi)容，可以直接在本標(biāo)準(zhǔn)中寫，如果本標(biāo)準(zhǔn)中大量引用了別的標(biāo)準(zhǔn)內(nèi)容，可以在引用處給出原標(biāo)準(zhǔn)的章節(jié)號，不直接寫內(nèi)容。顧建國采納。139.引言“政府部門應(yīng)對擬遷移至人計算平臺的信息和業(yè)務(wù)進行分析，按照信息的敏感程度和業(yè)務(wù)的重要程度選擇相應(yīng)安全能力水平的云服務(wù)商。GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》給出了信息、業(yè)務(wù)類型賈穎禾宿忠民顧建國采納。

序號標(biāo)準(zhǔn)章條編號意見內(nèi)容提出單位處理意見備注與安全保護要求之間的對應(yīng)關(guān)系”的描述與本標(biāo)準(zhǔn)關(guān)系不大，建議刪除。140.4.4建議增加對評估結(jié)果的定性的描述。顧建國采納。141.6.13對有些云服務(wù)商能力的評估只通過檢查就可以了，不需要測試；對有些云服務(wù)商能力的評估還需要測試，虛擬化測試技術(shù)還不成熟。卿斯?jié)h米納。在4.1評估原則中的“可重用”原則，對于已后的測試評估結(jié)果可在適用時予以采信。虛擬化測試技術(shù)尚不成熟，在本標(biāo)準(zhǔn)中先行提出該項標(biāo)準(zhǔn)條款需要測試，后續(xù)可通過制定相關(guān)標(biāo)準(zhǔn)、技術(shù)研究等刀式蟲一步補充。142.標(biāo)準(zhǔn)征求意見稿，2016年6月，大數(shù)據(jù)安全特別工作組征求意見143.術(shù)語標(biāo)準(zhǔn)的術(shù)語應(yīng)參照最近發(fā)表的國標(biāo)GB/T32400-2015云計算詞匯與概述IBM未采納。該標(biāo)準(zhǔn)為基于GB/T31168-2014的評估標(biāo)準(zhǔn)，術(shù)語沿用GB/T31168-2014和GB/T31167-2014.144.角色定義標(biāo)準(zhǔn)的角色定義應(yīng)參照最近發(fā)表的國標(biāo)GB/T32399-2015云計算參考架構(gòu)IBM未采納。該標(biāo)準(zhǔn)為基于GB/T31168-2014的評估標(biāo)準(zhǔn)，術(shù)語沿用GB/T31168-2014和GB/T31167-2014.145.4.2評估內(nèi)容第一段中“風(fēng)險評估和持續(xù)監(jiān)控”應(yīng)改為“風(fēng)險評估與持續(xù)監(jiān)控”，與能力要求標(biāo)準(zhǔn)保持一致。國家信息技術(shù)安全研究中心采納。146.4.4刪除“在云服務(wù)商通過安全評估后，并與客戶簽訂合同提供服務(wù)時，第三方評估機構(gòu)也可按照相關(guān)規(guī)定、客戶委托或其它情況積極參與和配合運行監(jiān)管工作，具體實中國信息安全測評中心部分米納。此部分的確屬于玄持續(xù)監(jiān)督的工作，