云安全審計(jì)

云計(jì)算作為一種新興的計(jì)算資源利用方式逐漸被各行業(yè)所接受和部署。采用了云計(jì)算技術(shù)的信息系統(tǒng)，稱為云計(jì)算平臺(tái)（系統(tǒng)）。云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）是三種基本的云計(jì)算服務(wù)模式。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。

由于云服務(wù)平臺(tái)建設(shè)的復(fù)雜性以及傳統(tǒng)信息系統(tǒng)安全和云計(jì)算自身技術(shù)特點(diǎn)所引發(fā)的新的信息安全和風(fēng)險(xiǎn)，與傳統(tǒng)信息系統(tǒng)安全審計(jì)相比,對(duì)于云服務(wù)平臺(tái)的安全審計(jì)有其自身的特點(diǎn)。本節(jié)將從云服務(wù)規(guī)劃與需求分析、供應(yīng)商選擇與合同簽署、云服務(wù)平臺(tái)開發(fā)測(cè)試與交付、云計(jì)算平臺(tái)的安全管理、云計(jì)算平臺(tái)的遷移與部署、云計(jì)算平臺(tái)的安全運(yùn)維、云計(jì)算服務(wù)關(guān)閉與數(shù)據(jù)遷移等方面對(duì)云安全審計(jì)的方法與步驟進(jìn)行描述。

一、云服務(wù)規(guī)劃與需求分析審計(jì)

（一）業(yè)務(wù)概述

在規(guī)劃與需求分析階段,組織應(yīng)根據(jù)自身的經(jīng)營(yíng)戰(zhàn)略與規(guī)劃，通過對(duì)組織資產(chǎn)、云服務(wù)平臺(tái)功能性、非功能性和安全性等四個(gè)方面的需求分析，以及云服務(wù)的效益評(píng)估,綜合評(píng)判部署云計(jì)算服務(wù)平臺(tái)的合理性及其建設(shè)模式，并最終形成決策報(bào)告。

（二）審計(jì)目標(biāo)和內(nèi)容

1.云服務(wù)綜合評(píng)估

該控制項(xiàng)旨在檢查組織在部署云計(jì)算服務(wù)平臺(tái)前，是否綜合評(píng)估采用云計(jì)算服務(wù)后獲得的效益（經(jīng)濟(jì)效益和社會(huì)效益）、可能面臨的信息安全風(fēng)險(xiǎn)、可以采取的安全措施后做出決策，從而判斷組織是否可在其可承受、容忍的風(fēng)險(xiǎn)范圍內(nèi),或在當(dāng)安全風(fēng)險(xiǎn)引發(fā)信息安全事件時(shí)有適當(dāng)?shù)目刂苹蜓a(bǔ)救措施而采用云計(jì)算服務(wù)。

2.決策建議與審批

該控制項(xiàng)旨在檢查組織在部署云服務(wù)平臺(tái)時(shí)，是否在基于服務(wù)綜合評(píng)估的基礎(chǔ)之上，對(duì)其進(jìn)行綜合分析形成采用云計(jì)算服務(wù)的決策報(bào)告,并經(jīng)本單位最高領(lǐng)導(dǎo)批準(zhǔn)，從而成為指導(dǎo)采用云計(jì)算服務(wù)的重要依據(jù)。

（三）常見問題和風(fēng)險(xiǎn)

1.云平臺(tái)規(guī)劃與建設(shè)時(shí)未充分考慮部署模式、服務(wù)模式對(duì)于經(jīng)濟(jì)效益、功能性需求、現(xiàn)有資源利用、現(xiàn)有流程的影響，導(dǎo)致項(xiàng)目建設(shè)與預(yù)期差距較大，經(jīng)濟(jì)效益較差。

2.云平臺(tái)規(guī)劃與建設(shè)時(shí)未充分考慮數(shù)據(jù)安全和整體安全防護(hù)，導(dǎo)致云平臺(tái)安全管控能力不足，容易造成數(shù)據(jù)泄露或安全風(fēng)險(xiǎn)。

3.云平臺(tái)建設(shè)缺乏嚴(yán)格的審批程度，導(dǎo)致需求模糊、邊界不清晰、性能不滿足預(yù)期要求，嚴(yán)重影響云平臺(tái)的交付和使用。

（四）審計(jì)的主要方法和程序

1.云服務(wù)綜合評(píng)估

（1）查閱組織項(xiàng)目建設(shè)的相關(guān)制度規(guī)范，了解涉及科技項(xiàng)目建設(shè)的評(píng)價(jià)指標(biāo)和流程。

（2）檢查組織是否對(duì)業(yè)務(wù)進(jìn)行識(shí)別并進(jìn)行優(yōu)先級(jí)劃分，并訪談關(guān)鍵業(yè)務(wù)部門負(fù)責(zé)人，了解關(guān)鍵業(yè)務(wù)特點(diǎn)、資源需求、時(shí)延、連續(xù)性以及安全保護(hù)的要求。

（3）訪談信息科技建設(shè)負(fù)責(zé)人，了解組織在規(guī)劃建設(shè)云服務(wù)平臺(tái)項(xiàng)目時(shí)是否基于部署模式（公有云、私有云和混合云）、服務(wù)模式（IaaS、PaaS、SaaS）對(duì)經(jīng)濟(jì)效益、功能性需求、非功能性需求、安全需求、現(xiàn)有資源利用/需求情況、現(xiàn)有信息系統(tǒng)管理流程是否受到影響等方面進(jìn)行綜合評(píng)估，以及評(píng)估、審批的流程，參與人員，并調(diào)閱項(xiàng)目建設(shè)的立項(xiàng)文檔，從而判斷效益評(píng)估的合理性、科學(xué)性以及合規(guī)性，其中，效益評(píng)估應(yīng)至少包括建設(shè)成本、運(yùn)維成本、人力成本、創(chuàng)新性以及對(duì)業(yè)務(wù)性能和質(zhì)量帶來(lái)的優(yōu)勢(shì)。

（4）檢查組織與數(shù)據(jù)管理相關(guān)的規(guī)章制度，了解組織是否明確數(shù)據(jù)類型，并查看數(shù)據(jù)存放的位置，從而判斷云平臺(tái)數(shù)據(jù)是否涉及敏感信息以及數(shù)據(jù)存儲(chǔ)的合規(guī)性。

（5）訪談云服務(wù)平臺(tái)負(fù)責(zé)人，了解現(xiàn)有的云部署模式和服務(wù)模式，并詢問其對(duì)在該模式下的安全風(fēng)險(xiǎn)和平臺(tái)運(yùn)營(yíng)者所應(yīng)承擔(dān)的安全責(zé)任知曉情況及其采取的常規(guī)安全防護(hù)措施、平臺(tái)可移植和互操作性，從而判斷現(xiàn)有云服務(wù)平臺(tái)對(duì)業(yè)務(wù)的安全風(fēng)險(xiǎn)承受能力。

（6）檢查組織是否對(duì)其資產(chǎn)進(jìn)行識(shí)別和歸屬分析，從而明確其部署的軟件所有權(quán)/使用權(quán)，數(shù)據(jù)資產(chǎn)的歸屬權(quán)。

2.決策建議與審批

（1）查閱云計(jì)算服務(wù)平臺(tái)建設(shè)項(xiàng)目的決策報(bào)告，檢查是否包括：背景描述，描述擬采用云計(jì)算服務(wù)的信息和業(yè)務(wù)；效益分析，從場(chǎng)地、人員、設(shè)備、軟件、運(yùn)行管理、維護(hù)升級(jí)、能耗等方面,對(duì)采用本地應(yīng)用與云計(jì)算服務(wù)所需費(fèi)用進(jìn)行綜合分析；云計(jì)算服務(wù)模式、部署模式選擇，從而明確客戶與云服務(wù)商的安全措施、實(shí)施邊界和管理邊界；數(shù)據(jù)和業(yè)務(wù)部署到云計(jì)算環(huán)境后可能遇到的功能需求分析，不同模式下的資源需求分析，數(shù)據(jù)的備份與數(shù)據(jù)的傳輸方式和網(wǎng)絡(luò)帶寬要求等；擬部署到云服務(wù)平臺(tái)中數(shù)據(jù)或系統(tǒng)的可用性、可靠性、恢復(fù)能力、事務(wù)響應(yīng)時(shí)間、吞吐率等指標(biāo)；基于對(duì)擬部署到云計(jì)算平臺(tái)的信息和業(yè)務(wù)的安全能力要求；將業(yè)務(wù)系統(tǒng)遷移到云計(jì)算平臺(tái)后,為確保業(yè)務(wù)連續(xù)性進(jìn)行的部署方案;退出云計(jì)算服務(wù)或變更云服務(wù)商的初步方案；對(duì)客戶相關(guān)人員進(jìn)行安全意識(shí)、技術(shù)和管理培訓(xùn)的方案；本單位負(fù)責(zé)采用云計(jì)算服務(wù)的領(lǐng)導(dǎo)、工作機(jī)構(gòu)及其責(zé)任；采購(gòu)和使用云計(jì)算服務(wù)過程中應(yīng)該考慮的其他重要事項(xiàng)。

（2）檢查決策報(bào)告是否經(jīng)過業(yè)務(wù)部門及管理層或?qū)＜覉F(tuán)隊(duì)的評(píng)審，以及審批流程是否完整；若存在改進(jìn)建議是否及時(shí)完善從而有效控制風(fēng)險(xiǎn)。

二、供應(yīng)商選擇與合同簽署審計(jì)

（一）業(yè)務(wù)概述

在服務(wù)商選擇與合同部署階段,客戶應(yīng)根據(jù)上階段所提的需求和決策報(bào)告，從服務(wù)能力、服務(wù)風(fēng)險(xiǎn)和服務(wù)費(fèi)用等三個(gè)方面評(píng)估云服務(wù)商的服務(wù)能力,選擇并與其協(xié)商和簽署服務(wù)合同(包括服務(wù)水平協(xié)議、安全需求、保密要求等內(nèi)容)，從而完成云服務(wù)平臺(tái)的開發(fā)、建設(shè)、測(cè)試以及數(shù)據(jù)和業(yè)務(wù)向云計(jì)算平臺(tái)的遷移與部署。

（二）審計(jì)目標(biāo)和內(nèi)容

1.云服務(wù)安全風(fēng)險(xiǎn)評(píng)估

該控制項(xiàng)旨在重點(diǎn)檢查組織是否從數(shù)據(jù)安全與存儲(chǔ)合規(guī)角度，結(jié)合自身對(duì)部署云服務(wù)平臺(tái)后可能產(chǎn)生風(fēng)險(xiǎn)的容忍度和處置能力進(jìn)行評(píng)估，并作為云服務(wù)商選擇和評(píng)估的參考依據(jù)。

2.服務(wù)安全能力評(píng)估

該控制項(xiàng)旨在檢查組織在選擇第三方云服務(wù)平臺(tái)時(shí)，是否對(duì)其基本的服務(wù)安全能力進(jìn)行評(píng)估。

3.云安全控制措施責(zé)任的識(shí)別

該控制項(xiàng)旨在檢查組織是否基于所選擇的云服務(wù)部署模式，明確與服務(wù)提供方的責(zé)任。

4.云服務(wù)合同及保密協(xié)議簽署

該控制項(xiàng)旨在檢查組織在選擇第三方云服務(wù)商時(shí)，是否與其簽署服務(wù)合同，并檢查其內(nèi)容是否包含明確的服務(wù)水平協(xié)議、安全需求、保密要求等關(guān)鍵內(nèi)容，從而保障組織的權(quán)益。

（三）常見問題和風(fēng)險(xiǎn)

1.組織沒有對(duì)云環(huán)境下其數(shù)據(jù)所有權(quán)的保障能力進(jìn)行風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)。

2.組織沒有根據(jù)采用的服務(wù)模式（IaaS、PaaS、SaaS），明確云服務(wù)提供商與自身所承擔(dān)安全責(zé)任的風(fēng)險(xiǎn)，以及沒有能力采取相應(yīng)的控制措施所產(chǎn)生的風(fēng)險(xiǎn)。

3.組織所選擇的云服務(wù)商自身安全風(fēng)險(xiǎn)管控體系不完善，自身的安全評(píng)估不足，導(dǎo)致存在較大風(fēng)險(xiǎn)隱患。

4.云服務(wù)商第三方機(jī)構(gòu)審計(jì)不到位，無(wú)法對(duì)云服務(wù)商的風(fēng)險(xiǎn)進(jìn)行識(shí)別與監(jiān)督。

5.云服務(wù)商安全與應(yīng)急響應(yīng)機(jī)制不健全，導(dǎo)致發(fā)生安全事件無(wú)法及時(shí)進(jìn)行處置。

（四）審計(jì)的主要方法和程序

1.云服務(wù)安全風(fēng)險(xiǎn)評(píng)估

（1）檢查云服務(wù)平臺(tái)存儲(chǔ)的生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)是否屬于國(guó)家規(guī)定的重要數(shù)據(jù)范疇，從而判斷組織是否存在可能的數(shù)據(jù)管轄風(fēng)險(xiǎn)。（數(shù)據(jù)管轄風(fēng)險(xiǎn)）

（2）檢查組織是否對(duì)其數(shù)據(jù)所有權(quán)的保障能力進(jìn)行風(fēng)險(xiǎn)評(píng)估。（數(shù)據(jù)所有權(quán)保障風(fēng)險(xiǎn)）

（3）檢查組織所部署的云服務(wù)平臺(tái)是否提供或具有有效的機(jī)制、標(biāo)準(zhǔn)或工具來(lái)驗(yàn)證所刪除的數(shù)據(jù)可否完全刪除，以防止其退出云計(jì)算服務(wù)后組織數(shù)據(jù)仍然可能完整保存或殘留在云計(jì)算平臺(tái)上。（數(shù)據(jù)殘留風(fēng)險(xiǎn)評(píng)估）

（4）評(píng)估是否存在單一云服務(wù)供應(yīng)商的風(fēng)險(xiǎn)。（供應(yīng)商鎖定的風(fēng)險(xiǎn)評(píng)估）

2.服務(wù)安全能力評(píng)估

（1）對(duì)云服務(wù)平臺(tái)所處的機(jī)房物理與環(huán)境保護(hù)能力進(jìn)行檢查或評(píng)估，確保云服務(wù)商機(jī)房位于中國(guó)境內(nèi)并符合國(guó)家標(biāo)準(zhǔn)規(guī)范，機(jī)房是否采取監(jiān)控措施以確保最低限度的人員物理接觸。

（物理安全，數(shù)據(jù)境內(nèi)存儲(chǔ)）

（2）檢查云服務(wù)商或組織自身是否建立風(fēng)險(xiǎn)評(píng)估體系和監(jiān)控目標(biāo)清單，從而確保在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平，并監(jiān)控目標(biāo)清單,對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，在發(fā)生異常和非授權(quán)情況時(shí)發(fā)出警報(bào)。（風(fēng)險(xiǎn)管理，安全監(jiān)控）

（3）檢查云服務(wù)商是否接受云租戶以外的第三方運(yùn)行監(jiān)管，并定期開展云安全審計(jì)，并向組織或社會(huì)定期公布安全審計(jì)報(bào)告。（第三方安全監(jiān)管，云安全審計(jì)）

（4）檢查云服務(wù)商是否建立針對(duì)云計(jì)算平臺(tái)設(shè)施和軟件維護(hù)所使用有效控制維護(hù)機(jī)制并具備相關(guān)能力，包括制度、工具、技術(shù)、人員及能力。（云安全監(jiān)控）

（5）檢查云服務(wù)商是否提供通用的安全控制措施，以及針對(duì)組織特定的應(yīng)用需要及服務(wù)模式，提供專用的安全控制措施，并制定每個(gè)應(yīng)用或服務(wù)的安全計(jì)劃。（通用安全控制措施，專用安全控制措施）

（6）檢查云服務(wù)商是否提供開放接口或開放性安全服務(wù)，允許組織接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)，支持異構(gòu)方式對(duì)云租戶的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層的安全措施進(jìn)行實(shí)施。（第三方安全產(chǎn)品接入）

（7）檢查云服務(wù)商的云服務(wù)平臺(tái)是否通過安全測(cè)試及國(guó)家等級(jí)保護(hù)認(rèn)證，以及其供應(yīng)商通過安全測(cè)評(píng)，從而對(duì)其安全措施的有效性進(jìn)行驗(yàn)證和評(píng)估，并檢查相關(guān)資質(zhì)證書和安全檢測(cè)報(bào)告，必要時(shí)須向組織提交供應(yīng)商清單。（安全測(cè)試評(píng)估，等保安全測(cè)評(píng)，產(chǎn)品及服務(wù)安全檢查）

（8）檢查云服務(wù)商是否為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃并具備容災(zāi)恢復(fù)能力,建立必要的備份與恢復(fù)設(shè)施和機(jī)制應(yīng)急響應(yīng)與災(zāi)備。（應(yīng)急管理與應(yīng)急處置）

（9）檢查云服務(wù)商的對(duì)外溝通渠道與方式，從而確保其具備在發(fā)生供應(yīng)鏈安全事件信息、威脅信息、重大或緊急變更時(shí)能及時(shí)傳遞給組織。（應(yīng)急溝通）

3.云安全控制措施責(zé)任的識(shí)別

檢查在公有云環(huán)境下，組織是否根據(jù)采用的服務(wù)模式（IaaS、PaaS、SaaS），明確云服務(wù)提供商與自身所承擔(dān)的安全責(zé)任，以及是否有能力采取相應(yīng)的控制措施，如通用安全控制措施、專用安全控制措施和混合安全措施。（安全控制措施）

4.云服務(wù)合同及保密協(xié)議簽署

檢查組織與云服務(wù)商是否簽署服務(wù)合同，以及合同內(nèi)容中是否包括：雙方的安全責(zé)任和義務(wù)；客戶方就云計(jì)算服務(wù)的安全功能要求、強(qiáng)度要求、保障要求、保密要求；云服務(wù)商應(yīng)遵從的安全技術(shù)和管理標(biāo)準(zhǔn)；服務(wù)級(jí)別協(xié)議（SLA）及具體的參數(shù)，并對(duì)涉及術(shù)語(yǔ)、指標(biāo)、管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則進(jìn)行確定；約定提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計(jì)算平臺(tái)上客戶業(yè)務(wù)運(yùn)行過程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等都屬客戶所有,云服務(wù)商應(yīng)保證客戶對(duì)這些資源的訪問、利用、支配等；約定利用云服務(wù)商平臺(tái)或與云服務(wù)商合作開發(fā)創(chuàng)造出成果（軟件、信息和計(jì)算成果）的所有權(quán)、使用權(quán)等歸屬問題；約定云服務(wù)商不得依據(jù)其他國(guó)家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國(guó)政府及組織；未經(jīng)客戶授權(quán),不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀客戶數(shù)據(jù);在服務(wù)合同終止時(shí),應(yīng)將數(shù)據(jù)、文檔等歸還給客戶,并按要求徹底清除數(shù)據(jù)。如果客戶有明確的留存要求,應(yīng)按要求留存客戶數(shù)據(jù)；采取有效管理和技術(shù)措施確保客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的保密性、完整性和可用性。提供客戶有效的安全監(jiān)管、服務(wù)質(zhì)量下降及應(yīng)急處置的溝通渠道；約定當(dāng)發(fā)生安全事件并造成損失時(shí)對(duì)客戶的經(jīng)濟(jì)賠償；不以持有客戶數(shù)據(jù)相要挾,配合做好客戶數(shù)據(jù)和業(yè)務(wù)的遷移或退出；發(fā)生糾紛時(shí),在雙方約定期限內(nèi)仍應(yīng)保證客戶數(shù)據(jù)安全；合同終止的條件及合同終止后云服務(wù)商應(yīng)履行的責(zé)任和義務(wù)；若云計(jì)算平臺(tái)中的業(yè)務(wù)系統(tǒng)與客戶其他業(yè)務(wù)系統(tǒng)之間需要數(shù)據(jù)交互,約定交互方式和接口;云計(jì)算服務(wù)的計(jì)費(fèi)方式、標(biāo)準(zhǔn),客戶的支付方式等；安全審計(jì)的支持與報(bào)告。

檢查組織是否對(duì)可訪問客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商簽訂保密協(xié)議，以及對(duì)能夠接觸客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商內(nèi)部員工與其簽訂保密協(xié)議,并作為合同附件，保密協(xié)議應(yīng)至少包括：合規(guī)要求、敏感信息披露、發(fā)現(xiàn)與報(bào)告、保密協(xié)議的有效期。

三、云服務(wù)平臺(tái)開發(fā)測(cè)試與交付審計(jì)

（一）業(yè)務(wù)概述

組織部署云服務(wù)平臺(tái)可根據(jù)自身的能力，可選擇自建、二次開發(fā)或完全采購(gòu)。因此，對(duì)該生命周期的檢查，重點(diǎn)在于檢查組織是否建立完善的開發(fā)、測(cè)試和驗(yàn)收的管理流程，從而確保在云服務(wù)平臺(tái)交付后得以穩(wěn)定運(yùn)行。

若組織直接從云服務(wù)商處采購(gòu)的云服務(wù)不涉及二次開發(fā)，則該項(xiàng)審計(jì)內(nèi)容可不予考慮。

（二）審計(jì)目標(biāo)和內(nèi)容

1.云平臺(tái)開發(fā)規(guī)劃

該控制項(xiàng)旨在檢查組織進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí)，是否將開發(fā)測(cè)試安全與平臺(tái)安全規(guī)劃納入到整體規(guī)劃建設(shè)方案當(dāng)中，并提前制定平臺(tái)開發(fā)的質(zhì)量管理、變更管理、測(cè)試與驗(yàn)收以及開發(fā)全過程安全監(jiān)控等相關(guān)規(guī)范文檔。

2.開發(fā)安全風(fēng)險(xiǎn)管理

該控制項(xiàng)旨在檢查組織進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí)，是否實(shí)施平臺(tái)開發(fā)安全風(fēng)險(xiǎn)管理，并將其集成到系統(tǒng)開發(fā)各生命周期活動(dòng)中。

3.安全測(cè)試與培訓(xùn)

該控制項(xiàng)旨在檢查組織在進(jìn)行云服務(wù)平臺(tái)開發(fā)建設(shè)時(shí)是否制定相關(guān)的平臺(tái)測(cè)試計(jì)劃和規(guī)程，并對(duì)其進(jìn)行安全測(cè)試和平臺(tái)交付前的安全培訓(xùn)。

（三）常見問題和風(fēng)險(xiǎn)

1.云服務(wù)平臺(tái)規(guī)劃與設(shè)計(jì)未同步考慮安全功能需求，導(dǎo)致安全整體保護(hù)能力不足。

2.云上應(yīng)用的相關(guān)安全需求、安全架構(gòu)和安全設(shè)計(jì)規(guī)范缺失，不利于落實(shí)各項(xiàng)安全要求，安全與功能建設(shè)未實(shí)現(xiàn)同步管理。

3.組織的云計(jì)算服務(wù)平臺(tái)由外部服務(wù)商進(jìn)行開發(fā)建設(shè)時(shí)，未定義針對(duì)其安全措施有效性的持續(xù)監(jiān)控計(jì)劃，可能導(dǎo)致持續(xù)監(jiān)控失效的風(fēng)險(xiǎn)。

4.云服務(wù)平臺(tái)的安全測(cè)試與培訓(xùn)不到位，未發(fā)現(xiàn)潛在的安全漏洞，一旦漏洞被利用，可能造成云平臺(tái)重要數(shù)據(jù)泄露。

（四）審計(jì)的主要方法和程序

1.平臺(tái)開發(fā)規(guī)劃

（1）檢查組織是否制定云服務(wù)平臺(tái)設(shè)計(jì)規(guī)范、安全架構(gòu)以及涉及開發(fā)過程的安全策略與規(guī)程等相關(guān)文檔,其應(yīng)定義各項(xiàng)安全功能、機(jī)制和服務(wù)如何協(xié)同工作,以提供完整一致的保護(hù)能力，并查看其是否定義各階段的信息安全角色及相應(yīng)責(zé)任人。

（2）檢查組織在進(jìn)行云計(jì)算服務(wù)系統(tǒng)開發(fā)時(shí)，是否制定安全策略與規(guī)程等相關(guān)文檔,以及是否定義了系統(tǒng)生命周期,（如規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢止階段等），并提出各階段信息系統(tǒng)和服務(wù)的安全需求、安全架構(gòu)和安全設(shè)計(jì)規(guī)范，并檢查系統(tǒng)規(guī)劃文檔、系統(tǒng)設(shè)計(jì)說明書。

（3）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔，是否定義了在系統(tǒng)生命周期中使用的系統(tǒng)工程方法、軟件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程，檢查開發(fā)測(cè)試文檔、變更文檔。

（4）檢查組織云計(jì)算服務(wù)平臺(tái)由外部服務(wù)商進(jìn)行開發(fā)建設(shè)時(shí)，是否定義了針對(duì)其安全措施有效性的持續(xù)監(jiān)控計(jì)劃，并檢查持續(xù)監(jiān)控計(jì)劃的詳細(xì)程度。

（5）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,是否對(duì)開發(fā)的環(huán)境和預(yù)期運(yùn)行環(huán)境、驗(yàn)收準(zhǔn)則及強(qiáng)制配置要求等進(jìn)行了描述，并檢查云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單中的相應(yīng)管理文檔。

2.開發(fā)安全風(fēng)險(xiǎn)管理

（1）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,查看其是否有將信息安全風(fēng)險(xiǎn)管理過程集成到系統(tǒng)開發(fā)各生命周期活動(dòng)中的要求，并訪談相關(guān)安全負(fù)責(zé)人，了解風(fēng)險(xiǎn)管理的落實(shí)情況。

（2）訪談相關(guān)安全負(fù)責(zé)人，詢問組織是否對(duì)開發(fā)商說明的系統(tǒng)功能、端口、協(xié)議和服務(wù)進(jìn)行必要的風(fēng)險(xiǎn)評(píng)估,并基于該評(píng)估結(jié)果禁用不必要或高風(fēng)險(xiǎn)的功能、端口、協(xié)議或服務(wù)。

3.安全測(cè)試與培訓(xùn)

（1）檢查組織或云服務(wù)平臺(tái)開發(fā)商是否制定測(cè)試計(jì)劃與測(cè)試規(guī)程等文檔，查看其是否定義了在單元、集成、系統(tǒng)以及回歸測(cè)試或評(píng)估時(shí)應(yīng)執(zhí)行的深度和覆蓋面，并檢查云計(jì)算服務(wù)系統(tǒng)的測(cè)試報(bào)告及代碼安全審查。

（2）檢查是否對(duì)云服務(wù)平臺(tái)部署前進(jìn)行滲透測(cè)試和安全評(píng)估，了解其存在的脆弱性和威脅，并檢查測(cè)試和評(píng)估報(bào)告是否出自獨(dú)立第三方。

（3）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關(guān)文檔,查看其是否定義了開發(fā)商需提供的有助于正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制的培訓(xùn),是否要求開發(fā)商提供所定義的培訓(xùn)，并檢查相關(guān)培訓(xùn)記錄。

四、云計(jì)算平臺(tái)的安全管理審計(jì)

（一）業(yè)務(wù)概述

是指云計(jì)算平臺(tái)的安全合規(guī)管理，信息安全等級(jí)保護(hù)檢查測(cè)評(píng)及其他安全規(guī)范遵循工作。

（二）審計(jì)目標(biāo)和內(nèi)容

1.合規(guī)識(shí)別與制度制定

該控制項(xiàng)旨在檢查組織是否準(zhǔn)確識(shí)別與云計(jì)算相關(guān)的安全合規(guī)要求，如數(shù)據(jù)安全、數(shù)據(jù)存儲(chǔ)等內(nèi)容，同時(shí)制定云服務(wù)平臺(tái)安全管理的規(guī)章制度及安全監(jiān)督指標(biāo)。

2.云服務(wù)安全管理角色及責(zé)任

該控制項(xiàng)旨在檢查組織在其內(nèi)部是否識(shí)別并定義云服務(wù)管理的角色及其安全職責(zé)，特別關(guān)注是否涉及與客戶、云服務(wù)提供商共同確定的涉及云計(jì)算服務(wù)的安全職責(zé)，同時(shí)檢查職責(zé)設(shè)置的合理性。

3.信息安全等級(jí)保護(hù)落實(shí)檢查

該控制項(xiàng)旨在檢查組織部署的云服務(wù)平臺(tái)是否依據(jù)等保要求定級(jí)備案，并定期開展等保的落實(shí)檢查工作。

4.資源保障

該控制項(xiàng)旨在檢查組織是否為云服務(wù)平臺(tái)的開發(fā)部署和后期運(yùn)行從制度層面提供保證機(jī)制并檢查工作的落實(shí)情況。

（三）常見問題和風(fēng)險(xiǎn)

1.云服務(wù)平臺(tái)安全管理策略與制度不健全，無(wú)法有效發(fā)揮安全監(jiān)督作用。

2.云服務(wù)安全管理角色及責(zé)任定義不清晰，無(wú)法有效落實(shí)云平臺(tái)安全管控要求。

3.未定期開展信息安全等級(jí)保護(hù)檢查，無(wú)法及時(shí)發(fā)現(xiàn)現(xiàn)有控制措施與等保的差距，同時(shí)存在合規(guī)風(fēng)險(xiǎn)。

（四）審計(jì)的主要方法和程序

1.合規(guī)識(shí)別與制度制定

（1）檢查組織是否制定了云服務(wù)平臺(tái)安全管理的規(guī)章制度，查看其內(nèi)容是否至少包括云服務(wù)平臺(tái)的安全制度與策略、安全組織與人員的相關(guān)規(guī)程、評(píng)審和更新信息安全規(guī)章制度的頻率。

（2）訪談系統(tǒng)安全負(fù)責(zé)人、外部服務(wù)提供商、開發(fā)商或客戶等內(nèi)外部相關(guān)人員,詢問傳達(dá)信息安全規(guī)章制度的情況，信息安全規(guī)章制度的評(píng)審和更新的情況，并檢查是否按要求進(jìn)行了信息安全規(guī)章制度的評(píng)審和更新。

（3）檢查組織是否收集和整理相關(guān)的法律、法規(guī)、政策和標(biāo)準(zhǔn)要求,并形成合規(guī)文件清單。

2.云服務(wù)安全管理角色及責(zé)任

（1）調(diào)閱安全組織與人員策略與規(guī)程等相關(guān)文檔,查看是否明確崗位信息安全職責(zé)要求,定義需進(jìn)行分離的關(guān)鍵職責(zé)從而滿足關(guān)鍵職責(zé)分離要求。

（2）訪談系統(tǒng)管理員、賬號(hào)管理員或安全管理員等相關(guān)人員,詢問通過訪問控制措施進(jìn)行職責(zé)分離落實(shí)的情況。

（3）檢查崗位信息安全職責(zé)的相關(guān)文檔,查看其是否有與客戶和云服務(wù)提供商共同確定涉及云計(jì)算服務(wù)的安全職責(zé)。

（4）檢查組織是否對(duì)已確立的責(zé)任，包括組織自身、客戶和云服務(wù)提供商進(jìn)行監(jiān)管與檢查，從而確保安全責(zé)任的落實(shí)。

3.信息安全等級(jí)保護(hù)落實(shí)檢查

（1）檢查組織是否基于已部署的云服務(wù)平臺(tái)上存儲(chǔ)數(shù)據(jù)和運(yùn)行的重要性及受到侵害的程度對(duì)其進(jìn)行等保定級(jí)。

（2）檢查組織是否基于云服務(wù)平臺(tái)的等保級(jí)別定期開展等保落實(shí)檢查工作，并調(diào)閱相關(guān)檢查文檔。

4.資源保障

（1）查閱組織的云服務(wù)管理制度文檔，檢查是否有為云服務(wù)平臺(tái)開發(fā)部署和后期運(yùn)行提供資源保障的承諾描述。

（2）檢查工作計(jì)劃、預(yù)算管理過程文檔,查看是否有為保護(hù)信息系統(tǒng)和服務(wù)提供所需資源(如有關(guān)資金、場(chǎng)地、人力等)的項(xiàng)目。

（3）訪談信息安全負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員,詢問為保護(hù)信息系統(tǒng)和服務(wù)所需資源的落實(shí)情況。

五、云計(jì)算平臺(tái)的遷移與部署審計(jì)

（一）業(yè)務(wù)概述

是指組織根據(jù)自身的安全需求和云計(jì)算服務(wù)的安全能力要求，制定云計(jì)算服務(wù)遷移與部署計(jì)劃并加以實(shí)施，確保數(shù)據(jù)和業(yè)務(wù)可以安全地向云計(jì)算平臺(tái)進(jìn)行遷移與部署。

（二）審計(jì)目標(biāo)和內(nèi)容

1.遷移計(jì)劃

該控制項(xiàng)旨在檢查組織在進(jìn)行云服務(wù)平臺(tái)遷移、部署前是否制定完善的遷移方案并對(duì)遷移過程可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析并制定應(yīng)對(duì)方案，從而為后期執(zhí)行遷移部署提供保證。

2.平臺(tái)遷移測(cè)試與部署

該控制項(xiàng)旨在檢查組織是否依據(jù)已制定的遷移方案進(jìn)行部署前的測(cè)試，并在部署完成后進(jìn)行云服務(wù)平臺(tái)的運(yùn)行測(cè)試，從而保證云服務(wù)平臺(tái)滿足既定的各項(xiàng)服務(wù)指標(biāo)。

（三）常見問題和風(fēng)險(xiǎn)

1.未制定遷移部署方案或未嚴(yán)格執(zhí)行遷移部署方案，導(dǎo)致遷移失敗或遷移過程中業(yè)務(wù)中斷和數(shù)據(jù)丟失。

2.未開展針對(duì)遷移部署過程的風(fēng)險(xiǎn)分析，無(wú)法根據(jù)識(shí)別出的風(fēng)險(xiǎn)制定應(yīng)對(duì)方案和回退策略。

3.云服務(wù)平臺(tái)部署后，未依據(jù)既定的驗(yàn)收標(biāo)準(zhǔn)對(duì)平臺(tái)的功能、性能和安全性進(jìn)行測(cè)試，平臺(tái)功能未滿足預(yù)期要求并存在安全隱患。

（四）審計(jì)的主要方法和程序

1.遷移計(jì)劃

（1）檢查組織是否制定遷移部署方案（一次性遷移、階段性遷移）和實(shí)施進(jìn)度計(jì)劃表，明確參與人員及職責(zé)，并查閱方案是否經(jīng)過審批。

（2）是否制定遷移部署的培訓(xùn)計(jì)劃并對(duì)參與人員進(jìn)行相關(guān)培訓(xùn)。

（3）是否開展針對(duì)遷移部署過程的風(fēng)險(xiǎn)分析，如數(shù)據(jù)丟失、業(yè)務(wù)中斷、部署過程中組織客戶數(shù)據(jù)和資源權(quán)限的泄露等，并根據(jù)識(shí)別出的風(fēng)險(xiǎn)制定應(yīng)對(duì)方案和回退策略。

2.平臺(tái)遷移測(cè)試與部署

（1）檢查組織是否根據(jù)事前制定的平臺(tái)遷移測(cè)試計(jì)劃，組織技術(shù)力量或委托第三方對(duì)云服務(wù)平臺(tái)的遷移（包括數(shù)據(jù)和系統(tǒng)）進(jìn)行部署前的測(cè)試，查看測(cè)試評(píng)估報(bào)告和整改建議并檢查具體整改措施的執(zhí)行情況。

（2）檢查組織是否采取技術(shù)手段，確保遷移前后數(shù)據(jù)的完整性與保密性，并調(diào)閱數(shù)據(jù)完整性測(cè)試報(bào)告。

（3）檢查組織在云服務(wù)平臺(tái)部署后，是否依據(jù)既定的驗(yàn)收標(biāo)準(zhǔn)和監(jiān)控指標(biāo)對(duì)平臺(tái)的功能、性能和安全性進(jìn)行監(jiān)控與測(cè)試，在滿足要求后投入運(yùn)行，并調(diào)閱運(yùn)行驗(yàn)收測(cè)試報(bào)告。

六、云計(jì)算平臺(tái)的安全運(yùn)維審計(jì)

（一）業(yè)務(wù)概述

云平臺(tái)投入運(yùn)行后，雖然客戶將部分控制和管理任務(wù)轉(zhuǎn)移給云服務(wù)商,但最終安全責(zé)任還是由客戶自身承擔(dān)。因此需要對(duì)自身的云計(jì)算服務(wù)運(yùn)維進(jìn)行良好的安全管理。

（二）審計(jì)目標(biāo)和內(nèi)容

1.網(wǎng)絡(luò)與通信安全

該控制項(xiàng)旨在從兩種視角，針對(duì)網(wǎng)絡(luò)與通信安全，檢查組織或云服務(wù)商是否采取有效的措施，保證云服務(wù)平臺(tái)的安全，包括實(shí)施物理和虛擬網(wǎng)絡(luò)及主機(jī)的安全區(qū)域劃分、安全隔離、安全防護(hù)，并采取管理和技術(shù)措施確保網(wǎng)絡(luò)與通信的安全性和可用性。

2.身份鑒別

該控制項(xiàng)旨在檢查組織或云服務(wù)提供者是否在云計(jì)算環(huán)境中，針對(duì)云用戶、租戶和管理員采取多種身份鑒別手段，并確保在系統(tǒng)整個(gè)生命周期內(nèi)用戶標(biāo)識(shí)的唯一性，以及對(duì)主機(jī)、虛擬機(jī)監(jiān)視器和管理平臺(tái)采用證書技術(shù)，確保證書的可信度和系統(tǒng)的抗抵賴性，檢查整個(gè)身份鑒別機(jī)制的相關(guān)配置是否受到統(tǒng)一控制。

3.訪問控制

該控制項(xiàng)旨在檢查組織或云服務(wù)商是否針對(duì)物理資源、虛擬資源、網(wǎng)絡(luò)與通信和用戶與管理員制定相應(yīng)的訪問控制策略并據(jù)此執(zhí)行。

4.惡意代碼與入侵防范

該控制項(xiàng)旨在檢查組織或云服務(wù)商的云服務(wù)平臺(tái)是否具有從基礎(chǔ)設(shè)施層到資源抽象層的區(qū)域邊界和惡意代碼防護(hù)功能，并部署相應(yīng)的產(chǎn)品；是否制定惡意代碼庫(kù)的升級(jí)策略并主動(dòng)進(jìn)行更新，并對(duì)惡意代碼進(jìn)行自動(dòng)檢測(cè)、防范和響應(yīng)。

5.應(yīng)用與數(shù)據(jù)安全

該控制項(xiàng)旨在檢查云服務(wù)商或組織是否采取措施對(duì)云服務(wù)平臺(tái)涉及的重要數(shù)據(jù)進(jìn)行有效識(shí)別和分類，并從平臺(tái)數(shù)據(jù)靜態(tài)存儲(chǔ)、動(dòng)態(tài)傳輸與數(shù)據(jù)調(diào)用等三方面，檢查是否采取措施確保數(shù)據(jù)的機(jī)密性和完整性，以及為確保已識(shí)別出的重要數(shù)據(jù)的可用性采取備份與恢復(fù)措施，同時(shí)檢查云服務(wù)平臺(tái)對(duì)外接口的安全性。

6.安全監(jiān)控與審計(jì)

該控制項(xiàng)旨在檢查組織或云服務(wù)商是否對(duì)云服務(wù)平臺(tái)制定安全監(jiān)測(cè)的制度規(guī)范與策略，明確安全監(jiān)控指標(biāo)和監(jiān)控對(duì)象，至少應(yīng)包括資源類、安全事件和操作行為，并就云服務(wù)平臺(tái)的運(yùn)營(yíng)管理開展安全審計(jì)。（建立日志留痕記錄）

（三）常見問題和風(fēng)險(xiǎn)

1.云計(jì)算服務(wù)系統(tǒng)安全區(qū)域劃分不合理，導(dǎo)致安全要求覆蓋不全面，存在安全風(fēng)險(xiǎn)隱患。

2.云計(jì)算服務(wù)系統(tǒng)未部署流量檢測(cè)和清洗設(shè)備，無(wú)法對(duì)異常流量的監(jiān)控和統(tǒng)計(jì)分析，受異常流量影響，導(dǎo)致網(wǎng)絡(luò)不可用。

3.云計(jì)算服務(wù)系統(tǒng)身份鑒別機(jī)制不嚴(yán)格，導(dǎo)致身份認(rèn)證機(jī)制被繞過，造成重要數(shù)據(jù)或敏感信息的泄露。

4.云計(jì)算服務(wù)系統(tǒng)審計(jì)功能未開啟或?qū)徲?jì)日志未定期查看，無(wú)法及時(shí)發(fā)現(xiàn)存在的違規(guī)操作或風(fēng)險(xiǎn)隱患。

（四）審計(jì)的主要方法和程序

1.網(wǎng)絡(luò)與通信安全

（1）查閱網(wǎng)絡(luò)拓?fù)鋱D，并訪談安全管理人員，了解組織或云服務(wù)提供商是否對(duì)云計(jì)算服務(wù)系統(tǒng)根據(jù)業(yè)務(wù)安全需要對(duì)平臺(tái)資源層、服務(wù)層和應(yīng)用層進(jìn)行安全區(qū)域的劃分，并在安全邊界進(jìn)行隔離防護(hù)，同時(shí)，云租戶之間及租戶內(nèi)部也應(yīng)根據(jù)安全業(yè)務(wù)需要、等級(jí)保護(hù)原則和業(yè)務(wù)生命周期進(jìn)一步劃分安全區(qū)域，制定各區(qū)域的安全策略并部署隔離防護(hù)設(shè)施，從而實(shí)現(xiàn)網(wǎng)絡(luò)隔離和虛擬機(jī)之間的隔離。（區(qū)域邊界劃分、網(wǎng)絡(luò)安全隔離與防護(hù)、虛擬安全域劃分）

（2）檢查虛擬機(jī)監(jiān)視器、云管理平臺(tái)，查看同一宿主機(jī)內(nèi)虛擬機(jī)之間、虛擬機(jī)與物理機(jī)之間流量是否能被識(shí)別、監(jiān)控，并查看不同宿主機(jī)的虛擬機(jī)之間、虛擬機(jī)與物理機(jī)之間流量是否能被識(shí)別、監(jiān)控。（流量監(jiān)管）

（3）檢查網(wǎng)絡(luò)架構(gòu)、配置策略和云管理平臺(tái)，查看是否實(shí)現(xiàn)管理流量和業(yè)務(wù)流量的分離，以及云平臺(tái)管理流量與云租戶業(yè)務(wù)流量的分離。（流量分離）

（4）檢查云服務(wù)提供商或組織是否對(duì)云計(jì)算系統(tǒng)各組成部分之間、虛擬機(jī)之間、云計(jì)算系統(tǒng)內(nèi)部通信網(wǎng)絡(luò)，通過通信完整性校驗(yàn)、密碼技術(shù)和VPN技術(shù)確保網(wǎng)絡(luò)和通信的完整性與安全性。（網(wǎng)絡(luò)安全性）

（5）檢查云服務(wù)提供商或組織是否部署流量檢測(cè)和清洗設(shè)備，實(shí)現(xiàn)對(duì)異常流量的監(jiān)控和統(tǒng)計(jì)分析，防止因異常流量造成的網(wǎng)絡(luò)不可用。（網(wǎng)絡(luò)可用性）

（6）查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查服務(wù)商或組織對(duì)網(wǎng)絡(luò)是否采用冗余技術(shù)，對(duì)關(guān)鍵鏈路、主要物理網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)核心和匯聚層等部署冗余設(shè)備，并根據(jù)租戶、主機(jī)和應(yīng)用的業(yè)務(wù)重要程度，劃分對(duì)應(yīng)的網(wǎng)絡(luò)帶寬優(yōu)先級(jí)，從而確保網(wǎng)絡(luò)的可用性。（網(wǎng)絡(luò)可用性）

2.身份鑒別

（1）檢查組織是否制定身份認(rèn)證和賬號(hào)策略，包括用戶身份與終端綁定、完整性驗(yàn)證檢查、賬號(hào)鎖定、賬號(hào)時(shí)效、禁止重復(fù)登錄等策略,并采取兩種及兩種以上組合機(jī)制對(duì)用戶身份進(jìn)行驗(yàn)證，對(duì)系統(tǒng)管理員和安全管理員是否采用單點(diǎn)登錄的集中用戶驗(yàn)證機(jī)制。（單點(diǎn)登錄、集中用戶認(rèn)證）

（2）檢查用戶的驗(yàn)證信息是否加密存儲(chǔ)，限制登錄口令最小長(zhǎng)度和更換周期。

（3）檢查云管理平臺(tái)，在進(jìn)行遠(yuǎn)程管理時(shí)，是否對(duì)管理終端和云平臺(tái)邊界設(shè)備之間建立雙向身份驗(yàn)證機(jī)制（如證書、共享密鑰等），并限制訪問重要物理資源及虛擬資源、安全管理中心的遠(yuǎn)程登錄地址。（遠(yuǎn)程登錄身份認(rèn)證）

（4）檢查網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間是否建立雙向身份驗(yàn)證機(jī)制，并驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。（設(shè)備間的身份鑒別）

3.訪問控制

（1）檢查服務(wù)商或組織是否基于系統(tǒng)業(yè)務(wù)類型、重要性或信息的重要程度，根據(jù)安全域的劃分，制定訪問控制策略，并檢查不同安全等級(jí)網(wǎng)絡(luò)區(qū)域邊界訪問控制機(jī)制部署情況及訪問控制規(guī)則，從而判斷針對(duì)邊界訪問控制機(jī)制或邊界訪問控制設(shè)備、不同虛擬機(jī)間訪問控制、虛擬機(jī)遷移是否得到有效控制。

（網(wǎng)絡(luò)訪問控制，虛擬資源訪問控制）

（2）檢查服務(wù)商或組織是否對(duì)特權(quán)用戶、系統(tǒng)管理員、用戶和云租戶依據(jù)“最小授權(quán)”原則和“職責(zé)分離”原則進(jìn)行訪問控制權(quán)限的設(shè)置。

（3）檢查服務(wù)商或組織是否對(duì)包括用戶、訪問協(xié)議實(shí)現(xiàn)對(duì)云服務(wù)平臺(tái)的網(wǎng)絡(luò)設(shè)備訪問進(jìn)行控制。

（4）檢查服務(wù)商或組織是否制定并部署針對(duì)虛擬機(jī)和多租戶的訪問控制策略，并允許租戶在自身虛擬機(jī)上部署各自的訪問控制策略，或通過在虛擬機(jī)監(jiān)視器上集中部署訪問控制策略。（虛擬化和多租戶訪問控制）

4.惡意代碼與入侵防范

（1）檢查云服務(wù)提供商或組織內(nèi)部是否制定惡意代碼和入侵防范系統(tǒng)特征庫(kù)的更新策略，并檢查惡意代碼版本和入侵防范系統(tǒng)特征庫(kù)是否與其服務(wù)提供商的最新版本相一致。

（2）檢查惡意代碼防護(hù)系統(tǒng)是否采取集中管理、統(tǒng)一部署的方式，可自動(dòng)對(duì)惡意代碼感染及其在虛擬機(jī)之間的蔓延進(jìn)行檢測(cè)和告警，并在監(jiān)測(cè)到破壞后進(jìn)行修復(fù)，同時(shí)為確保虛擬機(jī)安全系統(tǒng)建立惡意代碼傳播路徑的追蹤和安全隔離。（惡意代碼防范）

（3）檢查惡意代碼保護(hù)和入侵防范的對(duì)象，在基礎(chǔ)設(shè)施層到資源抽象層是否針對(duì)包括宿主機(jī)和虛擬主機(jī)以及虛擬機(jī)監(jiān)視器和云管理平臺(tái)。

（4）檢查云服務(wù)提供商或組織內(nèi)部是否在（高風(fēng)險(xiǎn)）區(qū)域邊界和關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼防護(hù)系統(tǒng)，從而實(shí)現(xiàn)對(duì)終端、web應(yīng)用、郵件系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)虛擬化軟件、虛擬機(jī)監(jiān)視器或云管理平臺(tái)惡意代碼檢測(cè)與清除，特別是虛擬服務(wù)器之間數(shù)據(jù)交換和云終端接入通信。

（5）檢查云服務(wù)提供商或組織內(nèi)部是否在區(qū)域邊界、關(guān)鍵業(yè)務(wù)系統(tǒng)采取相關(guān)技術(shù)措施，根據(jù)風(fēng)險(xiǎn)大小，在其附近部署入侵檢測(cè)與防范系統(tǒng)，從而實(shí)現(xiàn)對(duì)用戶行為、惡意流量、惡意攻擊、惡意掃描及異常流量和未知威脅的識(shí)別、監(jiān)控、防護(hù)，同時(shí)對(duì)上述活動(dòng)進(jìn)行數(shù)據(jù)收集、存儲(chǔ)和分析。（入侵防范）

（6）檢查部署的入侵檢測(cè)與防范系統(tǒng)日志，審計(jì)日志記錄內(nèi)容是否與審計(jì)信息相關(guān)及是否受到安全保護(hù)和定期備份，防止非預(yù)期的修改、刪除和覆蓋，并檢查云服務(wù)提供商或組織是否對(duì)日志進(jìn)行關(guān)聯(lián)分析并進(jìn)行關(guān)聯(lián)響應(yīng)。

5.應(yīng)用與數(shù)據(jù)安全

（1）檢查組織是否制定針對(duì)云服務(wù)平臺(tái)對(duì)外接口的安全策略，并檢查接口設(shè)計(jì)文檔或開放性服務(wù)技術(shù)文檔，查看是否符合開放性及安全性要求。

（2）檢查組織是否對(duì)云服務(wù)平臺(tái)對(duì)外接口進(jìn)行滲透測(cè)試或代碼審計(jì)并調(diào)閱測(cè)試或?qū)徲?jì)報(bào)告，從而驗(yàn)證是否存在安全漏洞或安全隱患。

（3）檢查云服務(wù)商或組織是否針對(duì)系統(tǒng)管理數(shù)據(jù)（如鏡像文件、快照）、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)，在存儲(chǔ)、傳輸過程（包括云計(jì)算系統(tǒng)內(nèi)部和虛擬機(jī)之間的通信）中，使用具有完整性校驗(yàn)和加密的技術(shù)與工具進(jìn)行完整性校驗(yàn)，從而防止在存儲(chǔ)和傳輸過程中遭到破壞、惡意篡改和泄露，并對(duì)不一致的數(shù)據(jù)進(jìn)行恢復(fù)。（鏡像與快照保護(hù)）

（4）檢查是否采用完整性校驗(yàn)算法和工具防止被惡意篡改。

（5）檢查云服務(wù)商或組織是否使用統(tǒng)一的調(diào)用接口，對(duì)存儲(chǔ)和使用環(huán)節(jié)的數(shù)據(jù)進(jìn)行完整性檢查。

（6）檢查云服務(wù)商或組織對(duì)上層提供接口、操作云服務(wù)控制平臺(tái)、向云主機(jī)或云存儲(chǔ)系統(tǒng)及數(shù)據(jù)庫(kù)傳輸數(shù)據(jù)是否采用加密技術(shù)，包括加密協(xié)議、算法。

（7）檢查云服務(wù)商或組織是否針對(duì)云服務(wù)系統(tǒng)涉及的本地?cái)?shù)據(jù)、在線數(shù)據(jù)、重要業(yè)務(wù)信息及軟件系統(tǒng)，根據(jù)重要程度和數(shù)據(jù)敏感性，制定分類分級(jí)策略及相應(yīng)的備份恢復(fù)策略，對(duì)不同等級(jí)的數(shù)據(jù)進(jìn)行備份與恢復(fù)。

（8）檢查是否制定并實(shí)施針對(duì)虛擬資源數(shù)據(jù)級(jí)、系統(tǒng)級(jí)和應(yīng)用級(jí)的冗余備份。

6.安全監(jiān)控與安全審計(jì)

（1）訪談系統(tǒng)安全負(fù)責(zé)人，詢問制定哪些相關(guān)策略從而對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)控，并檢查云平臺(tái)對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)控，監(jiān)控應(yīng)至少包括漏洞與補(bǔ)丁監(jiān)控、宿主機(jī)監(jiān)控、網(wǎng)絡(luò)監(jiān)控、用戶/租戶/管理員的操作行為監(jiān)控、網(wǎng)絡(luò)安全事件監(jiān)控和系統(tǒng)行為監(jiān)控。（安全監(jiān)控）

（2）檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否可對(duì)上述監(jiān)控對(duì)象進(jìn)行審計(jì)，并定義可（連續(xù)）審計(jì)事件,是否制定并維護(hù)該審計(jì)事件清單，及是否定義了需連續(xù)審計(jì)事件的審計(jì)頻率。（連續(xù)性審計(jì)）

（3）檢查審計(jì)范圍是否包括重要用戶行為、系統(tǒng)安全事件、數(shù)據(jù)庫(kù)行為、虛擬機(jī)的遷移、虛擬資源申請(qǐng)、虛擬資源調(diào)度、虛擬資源分配、虛擬資源異常使用和重要命令進(jìn)行安全審計(jì)，以及是否可以實(shí)現(xiàn)集中審計(jì)或第三方審計(jì)。

（4）檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否對(duì)審計(jì)記錄內(nèi)容提出要求，應(yīng)至少包含:事件類型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結(jié)果以及與事件相關(guān)的用戶或主體的身份等相關(guān)信息，并檢查日志的存儲(chǔ)安全和存儲(chǔ)周期是否符合審計(jì)策略與規(guī)程。

（5）檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否建立了與其他組織針對(duì)安全審計(jì)的協(xié)調(diào)機(jī)制。（外部審計(jì)協(xié)調(diào)）

（6）檢查組織是否根據(jù)不同的審計(jì)對(duì)象部署審計(jì)產(chǎn)品，并登錄查看審計(jì)功能是否開啟并基于審計(jì)策略進(jìn)行配置，查看審計(jì)記錄是否包含所規(guī)定的審計(jì)內(nèi)容。

（7）檢查審計(jì)記錄存儲(chǔ)容量配置信息,查看是否按照要求配置了相應(yīng)的存儲(chǔ)容量。

（8）檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否定義了當(dāng)審計(jì)過程失敗時(shí)接收?qǐng)?bào)警信息的人員（角色）清單。

（9）檢查審計(jì)系統(tǒng)配置信息,查看是否有系統(tǒng)審計(jì)過程失敗的報(bào)警機(jī)制，并訪談云服務(wù)商定義的人員或角色,詢問接收到審計(jì)失敗告警信息的情況和處理機(jī)制與流程。

（10）檢查審計(jì)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔,查看是否提供審計(jì)處理和審計(jì)報(bào)告生成的機(jī)制，以及是否支持實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的審查、分析和報(bào)告,并對(duì)安全事件的事后調(diào)查。

（11）檢查審計(jì)策略與規(guī)程等相關(guān)文檔,查看是否定義了在線保存審計(jì)記錄的時(shí)間段,是否要求支持安全事件的事后調(diào)查,是否要求符合法律法規(guī)及客戶的信息留存的要求，并檢查記錄留存的時(shí)間配置信息,查看是否與定義的時(shí)間段一致。

七、服務(wù)關(guān)閉與數(shù)據(jù)遷移審計(jì)

（一）業(yè)務(wù)概述

是指組織在云服務(wù)關(guān)閉與數(shù)據(jù)遷移前應(yīng)當(dāng)制定關(guān)閉當(dāng)前云服務(wù)平臺(tái)或向其他云服務(wù)平臺(tái)遷移時(shí)相關(guān)流程，從而確保組織完整退出當(dāng)前云服務(wù)階段，同時(shí)確保原云服務(wù)商的相關(guān)責(zé)任和義務(wù)得到履行。

（二）審計(jì)目標(biāo)和內(nèi)容

1.關(guān)閉和遷移規(guī)劃

該控制項(xiàng)旨在檢查組織是否就云服務(wù)平臺(tái)關(guān)閉及其所涉及的平臺(tái)數(shù)據(jù)遷移制定相應(yīng)的規(guī)劃方案和應(yīng)急預(yù)案，從而確保數(shù)據(jù)遷移的妥善執(zhí)行以及服務(wù)的連續(xù)性、可用性。

2.數(shù)據(jù)遷移及完整性和保密性保障

該控制項(xiàng)旨在檢查組織在云服務(wù)平臺(tái)關(guān)閉時(shí)所進(jìn)行的平臺(tái)數(shù)據(jù)遷移操作是否有效確保組織數(shù)據(jù)的完整性和保密性。

（三）常見問題和風(fēng)險(xiǎn)

1.原有云平臺(tái)上存儲(chǔ)的數(shù)據(jù)完全未返回組織或執(zhí)行徹底清除程序，導(dǎo)致殘留數(shù)據(jù)泄露。

2.未制定云平臺(tái)數(shù)據(jù)遷移和資料移交清單，導(dǎo)致遷移數(shù)據(jù)不完整或資料不全面，影響遷移效果，也不利于遷移資料的規(guī)范化管理。

（四）審計(jì)的主要方法和程序

1.關(guān)閉和遷移規(guī)劃

（1）檢查組織是否制定云服務(wù)平臺(tái)關(guān)閉及其數(shù)據(jù)遷移的規(guī)劃、方案、流程，從而確保平臺(tái)數(shù)據(jù)和業(yè)務(wù)的可用性、連續(xù)性，如是否制定回退方案和應(yīng)急預(yù)案等。

（2）檢查組織是否對(duì)回退方案或應(yīng)急預(yù)案進(jìn)行測(cè)試并調(diào)閱測(cè)試報(bào)告。

2.數(shù)據(jù)遷移及完整性和保密性保障

（1）檢查組織是否制定平臺(tái)數(shù)據(jù)遷移和資料移交清單，包括客戶移交給云服務(wù)商的數(shù)據(jù)和資料,以及客戶業(yè)務(wù)系統(tǒng)在云計(jì)算平臺(tái)上運(yùn)行期間產(chǎn)生、收集的數(shù)據(jù)以及相關(guān)文檔資料,如數(shù)據(jù)文件、程序代碼、說明書、技術(shù)資料、運(yùn)行日志等。

（2）檢查組織是否為確保遷移數(shù)據(jù)的完整性和保密性而采取相應(yīng)的措施。

（3）調(diào)閱組織平臺(tái)數(shù)據(jù)遷移的歷史記錄和遷移數(shù)據(jù)完整性、有效性測(cè)試報(bào)告。

（4）調(diào)閱原有云服務(wù)合同，了解組織對(duì)于原云服務(wù)商平臺(tái)數(shù)據(jù)存儲(chǔ)的時(shí)限要求和刪除要求，并查閱相關(guān)數(shù)據(jù)刪除與介質(zhì)銷毀的歷史記錄，判斷是否符合組織數(shù)據(jù)與介質(zhì)銷毀的服務(wù)要求。