【正文】 。 變更控制云服務商應：a）明確云計算平臺中有哪些變更需要包含在系統(tǒng)受控配置列表中，如主機配置項、網絡配置項等。b）明確需定期變更的受控配置列表，并按照[賦值：云服務商定義的頻率]對病毒庫、入侵檢測規(guī)則庫、防火墻規(guī)則庫、漏洞庫等與信息安全相關的重要配置項進行更新。c）在云計算平臺上實施變更之前，對信息系統(tǒng)的變更項進行分析，以判斷該變更事項對云計算安全帶來的潛在影響。d）審查所提交的信息系統(tǒng)受控配置的變更事項，根據安全影響分析結果進行批準或否決，并記錄變更決定。e）保留信息系統(tǒng)中受控配置的變更記錄。f）按照[賦值：云服務商定義的頻率]對與系統(tǒng)受控配置的變更有關的活動進行審查。g）明確受控配置變更的管理部門，負責協(xié)調和監(jiān)管與受控配置變更有關的活動。h）根據客戶的要求，確定應報告的配置變更事項。在實施這些變更之前，向客戶提供下列變更信息：1）變更計劃發(fā)生的日期和時間。2）系統(tǒng)變更的詳細信息。3）變更的安全影響分析結論。云服務商應：a）在云計算平臺上實施變更之前，對受控配置變更項進行測試、驗證和記錄。 b）對云計算平臺上的變更實施物理和邏輯訪問控制，并對變更動作進行審計。c）限制信息系統(tǒng)開發(fā)方和集成方對生產環(huán)境中的信息系統(tǒng)及其硬件、軟件和固件進行直接變更。d）按照[賦值：云服務商定義的頻率]，對信息系統(tǒng)開發(fā)方和集成方掌握的變更權限進行審查和再評估。 設置配置項的參數云服務商應：a）按照[賦值：云服務商定義的安全配置核對表]，建立并記錄信息系統(tǒng)中所使用的信息技術產品的配置設置。b）按照上述配置設置，對信息系統(tǒng)中所使用的信息技術產品的配置項進行參數設置。c）如因[賦值：云服務商定義的運行需求]或其他原因，出現(xiàn)[賦值：云服務商定義的信息系統(tǒng)組件]的配置參數與已設配置不符的情況，記錄相關信息，并經過[賦值：云服務商定義的人員或角色]的批準。d）監(jiān)控配置項設置參數的變更。云服務商應：a）使用自動機制對配置項的參數進行集中管理、應用和驗證。 b）按照[賦值：云服務商定義的安全措施]，處理對[賦值：云服務商定義的配置設置]的未授權變更。對未授權變更的響應措施包括：更換有關人員，恢復已建立的配置，或在極端情況下中斷受影響的信息系統(tǒng)的運行等。 最小功能原則 一般要求云服務商應：a）對云計算平臺按照僅提供必需功能進行配置，以減少系統(tǒng)面臨的風險。b）禁止或限制使用[賦值：云服務商定義的功能、端口、協(xié)議或服務]。 增強要求云服務商應：a）按照[賦值：云服務商定義的頻率]，對信息系統(tǒng)進行審查，以標識不必要或不安全的功能、端口、協(xié)議或服務。b）關閉[賦值：云服務商定義的不必要或不安全的功能、端口、協(xié)議和服務]。c）信息系統(tǒng)應按照[選擇：[賦值：云服務商定義的軟件使用與限制策略]；對軟件使用的授權規(guī)則]，禁止運行相關程序。d）按照白名單策略，確定[賦值：云服務商定義的在云計算平臺上允許運行的軟件]，禁止未授權軟件在云計算平臺上運行，并按照[賦值：云服務商定義的頻率]，審查和更新授權軟件列表。 信息系統(tǒng)組件清單 一般要求云服務商應：a）制定和維護信息系統(tǒng)組件清單，該清單應滿足下列要求：1）能準確反映當前信息系統(tǒng)的情況。2）與信息系統(tǒng)邊界一致。3）達到信息安全管理所必要的顆粒度。4）包含[賦值：云服務商定義的為實現(xiàn)有效的資產追責所必要的信息]。b）按照[賦值：云服務商定義的頻率]，審查并更新信息系統(tǒng)組件清單。c）當安裝或移除一個完整的系統(tǒng)組件時，或當信息系統(tǒng)更新時，更新其信息系統(tǒng)組件清單。d）確認云計算服務平臺的所有組件均已列入資產清單，如該組件屬于其他組織，應予以注明并說明原因。 增強要求云服務商應：a）按照[賦值：云服務商定義的頻率]，使用自動機制檢測云計算服務平臺中新增的未授權軟件、硬件或固件組件。b）當檢測到未授權的組件或設備時應[選擇：禁止其網絡訪問；對其進行隔離；通知[賦值：云服務商定義的人員或角色]]。c）使用自動機制維護信息系統(tǒng)組件清單。 策略與規(guī)程 一般要求云服務商應：a）制定如下策略與規(guī)程，并分發(fā)至[賦值：云服務商定義的人員或角色]：1）系統(tǒng)維護策略（包括遠程維護策略），涉及以下內容：目的、范圍、角色、責任、管理層承諾、內部協(xié)調、合規(guī)性。2）相關規(guī)程，以推動系統(tǒng)維護策略及有關安全措施的實施。b）按照[賦值：云服務商定義的頻率]審查和更新系統(tǒng)維護策略及相關規(guī)程。 增強要求無。 受控維護 一般要求云服務商應：a）根據供應商的規(guī)格說明以及自身的業(yè)務要求，對云計算平臺組件的維護和修理進行規(guī)劃、實施、記錄，并對維護和修理記錄進行審查。b）審批和監(jiān)視所有維護行為，不論是現(xiàn)場維護還是遠程維護，也不論被維護對象是在現(xiàn)場還是被轉移到其他位置。c）在將云計算平臺組件轉移到云服務商外部進行非現(xiàn)場的維護或修理前，對設備進行凈化，清除與之相關聯(lián)的介質中的信息。d）在對云計算平臺或組件進行維護或修理后，檢查所有可能受影響的安全措施，以確認其仍正常發(fā)揮功能。e）在維護記錄中，至少應包括：維護日期和時間、維護人員姓名、陪同人員姓名（如有必要）、對維護活動的描述、被轉移或替換的設備列表（包括設備標識號）等信息。 增強要求云服務商應確保，在將云計算平臺的組件轉移到云服務商外部進行非現(xiàn)場的維護或修理前，獲得[賦值：云服務商定義的人員或角色]的批準。 維護工具 一般要求云服務商應審批、控制并監(jiān)視信息系統(tǒng)維護工具的使用。 增強要求云服務商應：a）檢查由維護人員帶入設施內部的維護工具，以確保維護工具未被不當修改。b）在存有診斷和測試程序的介質被使用之前，對其進行惡意代碼檢測。c）為防止具有信息存儲功能的維護設備在未授權情況下被轉移出云服務商，采取以下一種或多種措施，并獲得本單位安全責任部門的批準： 1）驗證待轉移維護設備中沒有云服務商和用戶的信息。 2）凈化或破壞設備。 3）將維護設備留在場所內部。 遠程維護 一般要求云服務商應：a）明確規(guī)定建立和使用遠程維護和診斷連接的策略和規(guī)程, 對遠程維護和診斷進行審批和監(jiān)視。b）僅允許使用符合[賦值：云服務商定義的遠程維護策略]，并明確列出的遠程維護和診斷工具。c）在建立遠程維護和診斷會話時采取強鑒別技術。d）建立和保存對遠程維護和診斷活動的記錄。 e）在遠程維護完成后終止會話和網絡連接。f）對所有遠程維護和診斷活動進行審計，按照[賦值：云服務商定義的頻率]對所有遠程維護和診斷會話的記錄進行審查。 增強要求無。 維護人員 一般要求云服務商應：a）建立對維護人員的授權流程，對已獲授權的維護組織或人員建立列表。b）確保只有列表中的維護人員，才可在沒有人員陪同時進行系統(tǒng)維護；不在列表中的人員，必須在授權且技術可勝任的人員陪同與監(jiān)管下，才可開展維護活動。 增強要求無。 及時維護 一般要求云服務商應建立[賦值：云服務商定義的系統(tǒng)組件]的備品備件列表，并落實相關的措施。這些備品備件應能在發(fā)生故障的[賦值：云服務商定義的時間段]內投入運行。 增強要求無。 缺陷修復 一般要求云服務商應：a）標識、報告和修復云計算平臺的缺陷。b）在與安全相關的軟件和固件升級包發(fā)布后，及時安裝升級包。c）在安裝前測試與安全缺陷相關的軟件和固件升級包，驗證其是否有效，以及驗證其對云計算平臺可能帶來的副作用。d）將缺陷修復納入組織的配置管理過程之中。 增強要求云服務商應使用自動檢測機制，按照[賦值：云服務商定義的頻率]對缺陷修復后的組件進行檢測。 安全功能驗證 一般要求云服務商應:a）驗證[賦值：云服務商定義的安全功能]是否正常運行。b）在發(fā)生[賦值：云服務商定義的系統(tǒng)轉換狀態(tài)]時，或者按照[賦值：云服務商定義的頻率]，對安全計劃中的安全功能實施安全驗證。c）當自動實施的安全驗證失敗時，通知[賦值：云服務商定義的人員或角色]。d）當發(fā)生異常情況時，關閉或重啟信息系統(tǒng)，或者采取[賦值：云服務商定義的行為]。 增強要求無。 軟件、固件、信息完整性 一般要求云服務商應：a）建立完整性評估流程，確保軟件、固件、信息的完整性。b）具備檢測[賦值：云服務商定義的軟件、固件或信息]遇到的未授權更改的能力。 增強要求云服務商應：a）按照[賦值：云服務商定義的頻率]對云計算平臺進行完整性掃描，并重新評估軟件、固件和信息的完整性。b）確保云計算平臺具有檢測未授權系統(tǒng)變更的能力，并制定響應措施。c）在云平臺上安裝軟件之前，驗證其完整性。10應急響應與災備 一般要求云服務商應：a）制定如下策略與規(guī)程，并分發(fā)至[賦值：云服務商定義的人員或角色]：1）事件處理策略、災備與應急響應策略（包括備份策略），涉及以下內容：目的、范圍、角色、責任、管理層承諾、內部協(xié)調、合規(guī)性。2）相關規(guī)程，以推動事件處理策略、災備與應急響應策略及有關安全措施的實施。b）按照[賦值：云服務商定義的頻率]審查和更新事件處理策略、災備與應急響應策略及相關規(guī)程。 增強要求 無。 事件處理計劃 一般要求云服務商應：a）制定信息系統(tǒng)的事件處理計劃，該計劃應： 1）說明啟動事件處理計劃的條件和方法。2）說明事件處理能力的組織結構。 3）定義需要報告的安全事件。4）提供組織內事件處理能力的度量目標。5）定義必要的資源和管理支持，以維護和增強事件處理能力。6）由[賦值：云服務商定義的人員或角色]審查和批準。b）向[賦值：云服務商定義的人員、角色或部門]，發(fā)布事件處理計劃。c）按照[賦值：云服務商定義的頻率]，審查事件響應計劃。d）如系統(tǒng)發(fā)生變更或事件響應計劃在實施、執(zhí)行或測試中遇到問題，及時修改事件處理計劃并通報[賦值：云服務商定義的人員、角色或部門]。e）防止事件處理計劃未授權泄露和更改。 增強要求 無。 事件處理 一般要求云服務商應：a）為安全事件的處理提供必需的資源和管理支持。b）協(xié)調應急響應活動與事件處理活動，并與相關外部組織（如供應鏈中的外部服務提供商等）進行協(xié)調。c）將當前事件處理活動的經驗，納入事件處理、培訓及演練計劃，并實施相應的變更。 增強要求云服務商應使用自動機制支持事件處理過程。 安全事件報告 一般要求云服務商應：a）根據應急響應計劃，監(jiān)控和報告安全事件。b）當發(fā)現(xiàn)可疑的安全事件時，在[賦值：云服務商定義的時間段]內，向本單位的事件處理部門報告。c）建立事件報告渠道，當發(fā)生影響較大的安全事件時，向國家和地方應急響應組織及有關信息安全主管部門報告。 增強要求云服務商應使用自動機制支持事件報告過程。 事件響應支持 一般要求云服務商應落實事件處理所需的各類支持資源，為用戶處理、報告安全事件提供咨詢和幫助。 增強要求云服務商應：a）使用自動機制，提高事件響應支持資源的可用性。b）在事件處理部門和外部的信息安全組織之間建立直接合作關系，能夠在必要時獲得外部組織的協(xié)助。 安全警報 一般要求云服務商應： a）持續(xù)不斷地從國家和地方應急響應組織及有關信息安全主管部門接收安全警報、建議和指示。 b）在必要時發(fā)出內部的安全警報、建議和指示。 c）向[選擇：[賦值：云服務商定義的人員、角色或部門]；[賦值：云服務商定義的外部組織]]，傳達安全警報、建議和指示。d）能夠在已經確立的時間段內針對安全警報、建議和指示作出反應，如無法作出反應，向安全警報、建議和指示的下達部門及客戶告知原因。 增強要求 無。 錯誤處理 一般要求云服務商應：a）標識出信息系統(tǒng)各類安全相關錯誤的狀態(tài)。b）在錯誤日志和管理員消息中產生出錯消息，并提供必要信息用于更正活動，但出錯消息不能泄露以下情況：1）用戶名和口令的組合。2）用來驗證口令重設請求的屬性值（如安全提問）。3）可標識到個人的信息。4）用于鑒別身份的生物數據或人員特征。5）與內部安全功能有關的內容（如私鑰、白名單或黑名單規(guī)則）。6）其他重要或敏感數據。c）只向授權人員展現(xiàn)出錯消息。 增強要求 無。 應急響應計劃 一般要求云服務商應：a）制定信息系統(tǒng)的應急響應計劃，該計劃應：1）標識出信息系統(tǒng)的基本業(yè)務功能及其應急響應需求。2）進行業(yè)務影響分析，標識關鍵信息系統(tǒng)和組件及其安全風險，確定優(yōu)先次序。3）提供應急響應的恢復目標、恢復優(yōu)先級和度量指標。4）描述應急響應的結構和組織形式，明確應急響應責任人的角色、職責及其聯(lián)系信息。5）由[賦值：云服務商定義的人員或角色]審查和批準。b）將應急響應計劃向[賦值：云服務商定義的人員、角色或部門]進行通報。c）按照[賦值：云服務商定義的頻率]更新應急響應計劃。d）如系統(tǒng)發(fā)生變更或應急響應計劃在實施、執(zhí)行或測試中遇到問題，及時修改應急響應計劃并向[賦值：云服務商定義的人員、角色或部門]及客戶進行通報。e）防止應急響應計劃未授權泄露和更改。f）在發(fā)生安全事故時，確保應急響應計劃的實施能夠維持信息系統(tǒng)的基本業(yè)務功能，并能最終完全恢復信息系統(tǒng)且不消弱原來規(guī)劃和實施的安全措施。g）當本單位組織架構、云計算平臺或運行環(huán)境發(fā)生變更時，及時更新應急響應計劃。 增強要求云服務商應：a）進行容量規(guī)劃，以確保應急操作過程中具備必要的信息處理容量、通信容量和環(huán)境支持能力。b）列明用于支撐基本業(yè)務功能的關鍵信息系統(tǒng)資產。c）能夠在應急響應計劃啟動后[賦值：云服務商定義的時間段]內，恢復信息系統(tǒng)的基本業(yè)務功能，以及應急響應計劃啟動后[賦值：云服務商定義的時間段]內，恢復信息系統(tǒng)的所有業(yè)務功能。 應急培訓 一般要求云服務商應：a）向[賦值：云服務商定義的人員或角色]提供應急響應培訓。b）當信息系統(tǒng)變更時，或按照[賦值