信息安全技术云计算服务安全能力评估方法SANY 标准化小组#QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#意见汇总处理表标准项目名称:《信息安全技术云计算服务安全能力评估方法》承办人:王惠莅共 23 页标准项目负责起草单位:中国电子技术标准化研究院电话:12016 年 6 月 13 日填写标准章条编号意见内容提出单位处理意见2015 年 5 月 20 日发编制组内部征求意见依据当前评估条目的适用性,提取共性项,对仅适用于特殊场景下的评估点标注其使用建议,或单独章节形成特定测评点要求
CETC30 所未米纳
对服务类型进行区分超出本标准的范围
当前稿中涉及的角色称谓名称较多,各称谓代表的对象氾畴没有明示,容易混淆,比如用户、客户、租户之间的差异
修改建议:对用户、租户、客户、外部人员、特权用户、特权账户等各称谓明确含义范畴,规范其使用
CETC30 所未米纳
按照《能力要求》相关规定
建议将“对以社会化方式”去掉阿里云计算有限公司未米纳
与《能力要求》保持一致
1综合考虑原则不是原则,可重复和可充用、可再现比较理想,比较难实现
中国信息安全测评中心部分采纳
标准章条编号意见内容提出单位处理意见4
1建议改为“米用或参考其已有的公正第二方的测评结果”
阿里云计算有限公司部分采纳
1建议改为“灵活是指在对云服务商进行安全控制措施裁剪、替换等情况下,”阿里云计算有限公司未米纳
应疋由云服务商裁剪、替换安全控制措施等
2增加相应章节,1、描述安全评估系统要求,安全配件要求
成都大学未米纳
本标准只规氾评估方法,不涉及评估系统
建议修改格式,“涉及”格式为斜体国家信息技术安全研究中心采纳
1a)修改建议:检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征;西安未来国际有限公司未采纳
系统生命周期定义可参考已有国标
2f)修改建议:检查开