信息安全技术云计算服务安全能力评估方法SANY 标准化小组#QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#意见汇总处理表标准项目名称:《信息安全技术云计算服务安全能力评估方法》承办人:王惠莅共 23 页标准项目负责起草单位:中国电子技术标准化研究院电话:12016 年 6 月 13 日填写标准章条编号意见内容提出单位处理意见2015 年 5 月 20 日发编制组内部征求意见依据当前评估条目的适用性,提取共性项,对仅适用于特殊场景下的评估点标注其使用建议,或单独章节形成特定测评点要求。CETC30 所未米纳。对服务类型进行区分超出本标准的范围。当前稿中涉及的角色称谓名称较多,各称谓代表的对象氾畴没有明示,容易混淆,比如用户、客户、租户之间的差异。修改建议:对用户、租户、客户、外部人员、特权用户、特权账户等各称谓明确含义范畴,规范其使用。CETC30 所未米纳。按照《能力要求》相关规定。建议将“对以社会化方式”去掉阿里云计算有限公司未米纳。与《能力要求》保持一致。4.1综合考虑原则不是原则,可重复和可充用、可再现比较理想,比较难实现。中国信息安全测评中心部分采纳。标准章条编号意见内容提出单位处理意见4.1建议改为“米用或参考其已有的公正第二方的测评结果”。阿里云计算有限公司部分采纳。4.1建议改为“灵活是指在对云服务商进行安全控制措施裁剪、替换等情况下,”阿里云计算有限公司未米纳。应疋由云服务商裁剪、替换安全控制措施等。4.2增加相应章节,1、描述安全评估系统要求,安全配件要求。成都大学未米纳。本标准只规氾评估方法,不涉及评估系统。建议修改格式,“涉及”格式为斜体国家信息技术安全研究中心采纳。5.3.1a)修改建议:检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征;西安未来国际有限公司未采纳。系统生命周期定义可参考已有国标。5.4.2f)修改建议:检查开发商提供的说明文档是否有对功能、端口、协议和服务的详细说明,并列出不必要和高风险的功能、端口、协议或服务,并查看是否已禁用。西安未来国际有限公司采纳。修改建议:测试应用信息系统设计、开发、实现和修改过程中的机制,是否实现自动化机制。国家信息技术安全研究中心未采纳。《能力要求》不涉及自动化机制标准章条编号意见内容提出单位处理意见5.9.2b)将“得”改为“的”国家信息技术安全研究中心采纳。5.10.2c)5.10.2f)修改建议:增加句号。国家信息技术安全研究中心采纳。5.11.1a)评估方法修改建议:测试系统、...
