本標準描述了以社會化方式為特定客戶提供云計算服務時，云服務商應具備的信息安全技術能力。適用于對政府部門使用的云計算服務進行安全管理，也可供重點行業和其他企事業單位使用云計算服務時參考，還適用于指導云服務商建設安全的云計算平臺和提供安全的云計算服務。標準分為一般要求和增強要求。根據擬遷移到社會化云計算平臺上的政府和行業信息、業務的敏感度及安全需求的不同，云服務商應具備的安全能力也各不相同。

《能力要求》提出的安全要求分為10類，分別是：

——系統開發與供應鏈安全：云服務商應在開發云計算平臺時對其提供充分保護，對為其開發信息系統、組件和服務的開發商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮信息安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供與安全措施有關的文檔和信息，配合客戶完成對信息系統和業務的管理。

——系統與通信保護：云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信，并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。

——訪問控制：云服務商應嚴格保護云計算平臺的客戶數據和用戶隱私，在授權信息系統用戶及其進程、設備（包括其他信息系統的設備）訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制授權用戶可執行的操作和使用的功能。

——配置管理：云服務商應對云計算平臺進行配置管理，在系統生命周期內建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現云計算平臺中各類產品的安全配置參數。

——維護：云服務商應定期維護云計算平臺設施和軟件系統，并對維護所使用的工具、技術、機制以及維護人員進行有效的控制，且做好相關記錄。

——應急響應與災備：云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析、控制、恢復等，對事件進行跟蹤、記錄并向相關人員報告。服務商應具備災難恢復能力，建立必要的備份設施，確?？蛻魳I務可持續。

——審計：云服務商應根據安全需求和客戶要求，制定可審計事件清單，明確審計記錄內容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的未授權訪問、篡改和刪除行為。

——風險評估與持續監控：云服務商應定期或在威脅環境發生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。服務商應制定監控目標清單，對目標進行持續安全監控，并在異常和非授權情況發生時發出警報。

——安全組織與人員：云服務商應確保能夠接觸客戶信息或業務的各類人員（包括供應商人員）上崗時具備履行其信息安全責任的素質和能力，還應在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調動或離職時履行安全程序，對于違反信息安全規定的人員進行處罰。

——物理與環境保護：云服務商應確保機房位于中國境內，機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。