意见汇总处理表
标准项目名称:《信息安全技术云计算服务安全能力评估方法》承办人:王惠莅共23页 标准项目负责起草单位:中国电子技术标准化研究院电话:12016年6月13日填写
序号 标准章条编号 意见内容 提出单位 处理意见 备注 标准草案,2015年5月20日发编制组内部征求意见 依据当前评估条目的适用性,提取共性项,CETC30对仅适用于特殊场景下的评估点标注其使用建议,或单独章节形成特定测评点要求。 当前稿中涉及的角色称谓名称较多,各称谓代表的对象范畴没有明示,容易混淆,CETC30所 所 未采纳。对服务类型进行区分超出本标准的范围。 1. 未采纳。按照《能力要求》相关规定。 2. 比如用户、客户、租户之间的差异。 修改建议:对用户、租户、客户、外部人序号 标准章条编号 意见内容 员、特权用户、特权账户等各称谓明确含义范畴,规范其使用。 建议将“对以社会化方式”去掉 提出单位 处理意见 备注 阿里云计未采纳。与《能力要求》保持算有限公一致。 司 3. 1 综合考虑原则不是原则,可重复和可充用、中国信息4. 4.1 可再现比较理想,比较难实现。 安全测评部分采纳。 中心 建议改为“采用或参考其已有的公正第三5. 阿里云计算有限公部分采纳。 司 4.1 方的测评结果”。 序号 标准章条编号 意见内容 建议改为“灵活是指在对云服务商进行安提出单位 阿里云计处理意见 备注 未采纳。应是由云服务商裁6. 4.1 全控制措施裁剪、替换等情况下,” 算有限公剪、替换安全控制措施等。 司 增加相应章节, 未采纳。本标准只规范评估方7. 4.2 1、 描述安全评估系统要求, 成都大学 法,不涉及评估系统。 安全配件要求。 国家信息8. 建议修改格式,“涉及”格式为斜体 技术安全采纳。 研究中心 5.3.1a) 9. 修改建议: 检查云服务商是否定义系统生命周期、并定义生命周期各节点及特征; 西安未来未采纳。系统生命周期定义可国际有限参考已有国标。 公司 序号 标准章条编号 意见内容 修改建议: 检查开发商提供的说明文档是否有对功提出单位 处理意见 备注 5.4.2f) 西安未来国际有限采纳。 公司 10. 能、端口、协议和服务的详细说明,并列出不必要和高风险的功能、端口、协议或服务,并查看是否已禁用。 修改建议: 测试应用信息系统设计、开发、实现和修国家信息未采纳。《能力要求》不涉及技术安全自动化机制 11. 改过程中的机制,是否实现自动化机制。 研究中心 5.9.2b) 12. 将“得”改为“的” 国家信息技术安全采纳。 研究中心 13. 5.10.2c) 修改建议: 国家信息采纳。 序号 标准章条编号 意见内容 增加句号。 提出单位 技术安全研究中心 处理意见 备注 5.10.2f) 5.11.1a)评估方法 14. 修改建议: 测试系统、组件或服务的在设计、开发、实现、运行过程中的配置管理方式,是否实现自动化管理。 国家信息技术安全未采纳。 研究中心 5.12.2a) 15. 修改建议: 检查开发阶段所使用的静态代码分析工具配置; 西安未来国际有限部分采纳。 公司 西安未来国际有限未采纳。只看报告就能体现。 公司 5.12.2e) 16. 修改建议: 检查开发商的渗透性测试相关文档(测试计划、测试报告)
《信息安全技术云计算服务安全能力评估方法》
