安全資訊

云安全審計

云計算作為一種新興的計算資源利用方式逐漸被各行業(yè)所接受和部署。采用了云計算技術(shù)的信息系統，稱(chēng)為云計算平臺（系統）。云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎設施即服務(wù)（IaaS）是三種基本的云計算服務(wù)模式。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶(hù)對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。

由于云服務(wù)平臺建設的復雜性以及傳統信息系統安全和云計算自身技術(shù)特點(diǎn)所引發(fā)的新的信息安全和風(fēng)險，與傳統信息系統安全審計相比,對于云服務(wù)平臺的安全審計有其自身的特點(diǎn)。本節將從云服務(wù)規劃與需求分析、供應商選擇與合同簽署、云服務(wù)平臺開(kāi)發(fā)測試與交付、云計算平臺的安全管理、云計算平臺的遷移與部署、云計算平臺的安全運維、云計算服務(wù)關(guān)閉與數據遷移等方面對云安全審計的方法與步驟進(jìn)行描述。

一、云服務(wù)規劃與需求分析審計

（一）業(yè)務(wù)概述

在規劃與需求分析階段,組織應根據自身的經(jīng)營(yíng)戰略與規劃，通過(guò)對組織資產(chǎn)、云服務(wù)平臺功能性、非功能性和安全性等四個(gè)方面的需求分析，以及云服務(wù)的效益評估,綜合評判部署云計算服務(wù)平臺的合理性及其建設模式，并最終形成決策報告。

（二）審計目標和內容

1.云服務(wù)綜合評估

該控制項旨在檢查組織在部署云計算服務(wù)平臺前，是否綜合評估采用云計算服務(wù)后獲得的效益（經(jīng)濟效益和社會(huì )效益）、可能面臨的信息安全風(fēng)險、可以采取的安全措施后做出決策，從而判斷組織是否可在其可承受、容忍的風(fēng)險范圍內,或在當安全風(fēng)險引發(fā)信息安全事件時(shí)有適當的控制或補救措施而采用云計算服務(wù)。

2.決策建議與審批

該控制項旨在檢查組織在部署云服務(wù)平臺時(shí)，是否在基于服務(wù)綜合評估的基礎之上，對其進(jìn)行綜合分析形成采用云計算服務(wù)的決策報告,并經(jīng)本單位最高領(lǐng)導批準，從而成為指導采用云計算服務(wù)的重要依據。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.云平臺規劃與建設時(shí)未充分考慮部署模式、服務(wù)模式對于經(jīng)濟效益、功能性需求、現有資源利用、現有流程的影響，導致項目建設與預期差距較大，經(jīng)濟效益較差。

2.云平臺規劃與建設時(shí)未充分考慮數據安全和整體安全防護，導致云平臺安全管控能力不足，容易造成數據泄露或安全風(fēng)險。

3.云平臺建設缺乏嚴格的審批程度，導致需求模糊、邊界不清晰、性能不滿(mǎn)足預期要求，嚴重影響云平臺的交付和使用。

（四）審計的主要方法和程序

1.云服務(wù)綜合評估

（1）查閱組織項目建設的相關(guān)制度規范，了解涉及科技項目建設的評價(jià)指標和流程。

（2）檢查組織是否對業(yè)務(wù)進(jìn)行識別并進(jìn)行優(yōu)先級劃分，并訪(fǎng)談關(guān)鍵業(yè)務(wù)部門(mén)負責人，了解關(guān)鍵業(yè)務(wù)特點(diǎn)、資源需求、時(shí)延、連續性以及安全保護的要求。

（3）訪(fǎng)談信息科技建設負責人，了解組織在規劃建設云服務(wù)平臺項目時(shí)是否基于部署模式（公有云、私有云和混合云）、服務(wù)模式（IaaS、PaaS、SaaS）對經(jīng)濟效益、功能性需求、非功能性需求、安全需求、現有資源利用/需求情況、現有信息系統管理流程是否受到影響等方面進(jìn)行綜合評估，以及評估、審批的流程，參與人員，并調閱項目建設的立項文檔，從而判斷效益評估的合理性、科學(xué)性以及合規性，其中，效益評估應至少包括建設成本、運維成本、人力成本、創(chuàng )新性以及對業(yè)務(wù)性能和質(zhì)量帶來(lái)的優(yōu)勢。

（4）檢查組織與數據管理相關(guān)的規章制度，了解組織是否明確數據類(lèi)型，并查看數據存放的位置，從而判斷云平臺數據是否涉及敏感信息以及數據存儲的合規性。

（5）訪(fǎng)談云服務(wù)平臺負責人，了解現有的云部署模式和服務(wù)模式，并詢(xún)問(wèn)其對在該模式下的安全風(fēng)險和平臺運營(yíng)者所應承擔的安全責任知曉情況及其采取的常規安全防護措施、平臺可移植和互操作性，從而判斷現有云服務(wù)平臺對業(yè)務(wù)的安全風(fēng)險承受能力。

（6）檢查組織是否對其資產(chǎn)進(jìn)行識別和歸屬分析，從而明確其部署的軟件所有權/使用權，數據資產(chǎn)的歸屬權。

2.決策建議與審批

（1）查閱云計算服務(wù)平臺建設項目的決策報告，檢查是否包括：背景描述，描述擬采用云計算服務(wù)的信息和業(yè)務(wù)；效益分析，從場(chǎng)地、人員、設備、軟件、運行管理、維護升級、能耗等方面,對采用本地應用與云計算服務(wù)所需費用進(jìn)行綜合分析；云計算服務(wù)模式、部署模式選擇，從而明確客戶(hù)與云服務(wù)商的安全措施、實(shí)施邊界和管理邊界；數據和業(yè)務(wù)部署到云計算環(huán)境后可能遇到的功能需求分析，不同模式下的資源需求分析，數據的備份與數據的傳輸方式和網(wǎng)絡(luò )帶寬要求等；擬部署到云服務(wù)平臺中數據或系統的可用性、可靠性、恢復能力、事務(wù)響應時(shí)間、吞吐率等指標；基于對擬部署到云計算平臺的信息和業(yè)務(wù)的安全能力要求；將業(yè)務(wù)系統遷移到云計算平臺后,為確保業(yè)務(wù)連續性進(jìn)行的部署方案;退出云計算服務(wù)或變更云服務(wù)商的初步方案；對客戶(hù)相關(guān)人員進(jìn)行安全意識、技術(shù)和管理培訓的方案；本單位負責采用云計算服務(wù)的領(lǐng)導、工作機構及其責任；采購和使用云計算服務(wù)過(guò)程中應該考慮的其他重要事項。

（2）檢查決策報告是否經(jīng)過(guò)業(yè)務(wù)部門(mén)及管理層或專(zhuān)家團隊的評審，以及審批流程是否完整；若存在改進(jìn)建議是否及時(shí)完善從而有效控制風(fēng)險。

二、供應商選擇與合同簽署審計

（一）業(yè)務(wù)概述

在服務(wù)商選擇與合同部署階段,客戶(hù)應根據上階段所提的需求和決策報告，從服務(wù)能力、服務(wù)風(fēng)險和服務(wù)費用等三個(gè)方面評估云服務(wù)商的服務(wù)能力,選擇并與其協(xié)商和簽署服務(wù)合同(包括服務(wù)水平協(xié)議、安全需求、保密要求等內容)，從而完成云服務(wù)平臺的開(kāi)發(fā)、建設、測試以及數據和業(yè)務(wù)向云計算平臺的遷移與部署。

（二）審計目標和內容

1.云服務(wù)安全風(fēng)險評估

該控制項旨在重點(diǎn)檢查組織是否從數據安全與存儲合規角度，結合自身對部署云服務(wù)平臺后可能產(chǎn)生風(fēng)險的容忍度和處置能力進(jìn)行評估，并作為云服務(wù)商選擇和評估的參考依據。

2.服務(wù)安全能力評估

該控制項旨在檢查組織在選擇第三方云服務(wù)平臺時(shí)，是否對其基本的服務(wù)安全能力進(jìn)行評估。

3.云安全控制措施責任的識別

該控制項旨在檢查組織是否基于所選擇的云服務(wù)部署模式，明確與服務(wù)提供方的責任。

4.云服務(wù)合同及保密協(xié)議簽署

該控制項旨在檢查組織在選擇第三方云服務(wù)商時(shí)，是否與其簽署服務(wù)合同，并檢查其內容是否包含明確的服務(wù)水平協(xié)議、安全需求、保密要求等關(guān)鍵內容，從而保障組織的權益。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.組織沒(méi)有對云環(huán)境下其數據所有權的保障能力進(jìn)行風(fēng)險評估的風(fēng)險。

2.組織沒(méi)有根據采用的服務(wù)模式（IaaS、PaaS、SaaS），明確云服務(wù)提供商與自身所承擔安全責任的風(fēng)險，以及沒(méi)有能力采取相應的控制措施所產(chǎn)生的風(fēng)險。

3.組織所選擇的云服務(wù)商自身安全風(fēng)險管控體系不完善，自身的安全評估不足，導致存在較大風(fēng)險隱患。

4.云服務(wù)商第三方機構審計不到位，無(wú)法對云服務(wù)商的風(fēng)險進(jìn)行識別與監督。

5.云服務(wù)商安全與應急響應機制不健全，導致發(fā)生安全事件無(wú)法及時(shí)進(jìn)行處置。

（四）審計的主要方法和程序

1.云服務(wù)安全風(fēng)險評估

（1）檢查云服務(wù)平臺存儲的生產(chǎn)經(jīng)營(yíng)數據是否屬于國家規定的重要數據范疇，從而判斷組織是否存在可能的數據管轄風(fēng)險。（數據管轄風(fēng)險）

（2）檢查組織是否對其數據所有權的保障能力進(jìn)行風(fēng)險評估。（數據所有權保障風(fēng)險）

（3）檢查組織所部署的云服務(wù)平臺是否提供或具有有效的機制、標準或工具來(lái)驗證所刪除的數據可否完全刪除，以防止其退出云計算服務(wù)后組織數據仍然可能完整保存或殘留在云計算平臺上。（數據殘留風(fēng)險評估）

（4）評估是否存在單一云服務(wù)供應商的風(fēng)險。（供應商鎖定的風(fēng)險評估）

2.服務(wù)安全能力評估

（1）對云服務(wù)平臺所處的機房物理與環(huán)境保護能力進(jìn)行檢查或評估，確保云服務(wù)商機房位于中國境內并符合國家標準規范，機房是否采取監控措施以確保最低限度的人員物理接觸。

（物理安全，數據境內存儲）

（2）檢查云服務(wù)商或組織自身是否建立風(fēng)險評估體系和監控目標清單，從而確保在威脅環(huán)境發(fā)生變化時(shí)，對云計算平臺定期進(jìn)行風(fēng)險評估,確保云計算平臺的安全風(fēng)險處于可接受水平，并監控目標清單,對目標進(jìn)行持續安全監控，在發(fā)生異常和非授權情況時(shí)發(fā)出警報。（風(fēng)險管理，安全監控）

（3）檢查云服務(wù)商是否接受云租戶(hù)以外的第三方運行監管，并定期開(kāi)展云安全審計，并向組織或社會(huì )定期公布安全審計報告。（第三方安全監管，云安全審計）

（4）檢查云服務(wù)商是否建立針對云計算平臺設施和軟件維護所使用有效控制維護機制并具備相關(guān)能力，包括制度、工具、技術(shù)、人員及能力。（云安全監控）

（5）檢查云服務(wù)商是否提供通用的安全控制措施，以及針對組織特定的應用需要及服務(wù)模式，提供專(zhuān)用的安全控制措施，并制定每個(gè)應用或服務(wù)的安全計劃。（通用安全控制措施，專(zhuān)用安全控制措施）

（6）檢查云服務(wù)商是否提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許組織接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)，支持異構方式對云租戶(hù)的網(wǎng)絡(luò )、主機、應用、數據層的安全措施進(jìn)行實(shí)施。（第三方安全產(chǎn)品接入）

（7）檢查云服務(wù)商的云服務(wù)平臺是否通過(guò)安全測試及國家等級保護認證，以及其供應商通過(guò)安全測評，從而對其安全措施的有效性進(jìn)行驗證和評估，并檢查相關(guān)資質(zhì)證書(shū)和安全檢測報告，必要時(shí)須向組織提交供應商清單。（安全測試評估，等保安全測評，產(chǎn)品及服務(wù)安全檢查）

（8）檢查云服務(wù)商是否為云計算平臺制定應急響應計劃并具備容災恢復能力,建立必要的備份與恢復設施和機制應急響應與災備。（應急管理與應急處置）

（9）檢查云服務(wù)商的對外溝通渠道與方式，從而確保其具備在發(fā)生供應鏈安全事件信息、威脅信息、重大或緊急變更時(shí)能及時(shí)傳遞給組織。（應急溝通）

3.云安全控制措施責任的識別

檢查在公有云環(huán)境下，組織是否根據采用的服務(wù)模式（IaaS、PaaS、SaaS），明確云服務(wù)提供商與自身所承擔的安全責任，以及是否有能力采取相應的控制措施，如通用安全控制措施、專(zhuān)用安全控制措施和混合安全措施。（安全控制措施）

4.云服務(wù)合同及保密協(xié)議簽署

檢查組織與云服務(wù)商是否簽署服務(wù)合同，以及合同內容中是否包括：雙方的安全責任和義務(wù)；客戶(hù)方就云計算服務(wù)的安全功能要求、強度要求、保障要求、保密要求；云服務(wù)商應遵從的安全技術(shù)和管理標準；服務(wù)級別協(xié)議（SLA）及具體的參數，并對涉及術(shù)語(yǔ)、指標、管理范圍、職責劃分、訪(fǎng)問(wèn)授權、隱私保護、行為準則進(jìn)行確定；約定提供給云服務(wù)商的數據、設備等資源,以及云計算平臺上客戶(hù)業(yè)務(wù)運行過(guò)程中收集、產(chǎn)生、存儲的數據和文檔等都屬客戶(hù)所有,云服務(wù)商應保證客戶(hù)對這些資源的訪(fǎng)問(wèn)、利用、支配等；約定利用云服務(wù)商平臺或與云服務(wù)商合作開(kāi)發(fā)創(chuàng )造出成果（軟件、信息和計算成果）的所有權、使用權等歸屬問(wèn)題；約定云服務(wù)商不得依據其他國家的法律和司法要求將客戶(hù)數據及相關(guān)信息提供給他國政府及組織；未經(jīng)客戶(hù)授權,不得訪(fǎng)問(wèn)、修改、披露、利用、轉讓、銷(xiāo)毀客戶(hù)數據;在服務(wù)合同終止時(shí),應將數據、文檔等歸還給客戶(hù),并按要求徹底清除數據。如果客戶(hù)有明確的留存要求,應按要求留存客戶(hù)數據；采取有效管理和技術(shù)措施確?？蛻?hù)數據和業(yè)務(wù)系統的保密性、完整性和可用性。提供客戶(hù)有效的安全監管、服務(wù)質(zhì)量下降及應急處置的溝通渠道；約定當發(fā)生安全事件并造成損失時(shí)對客戶(hù)的經(jīng)濟賠償；不以持有客戶(hù)數據相要挾,配合做好客戶(hù)數據和業(yè)務(wù)的遷移或退出；發(fā)生糾紛時(shí),在雙方約定期限內仍應保證客戶(hù)數據安全；合同終止的條件及合同終止后云服務(wù)商應履行的責任和義務(wù)；若云計算平臺中的業(yè)務(wù)系統與客戶(hù)其他業(yè)務(wù)系統之間需要數據交互,約定交互方式和接口;云計算服務(wù)的計費方式、標準,客戶(hù)的支付方式等；安全審計的支持與報告。

檢查組織是否對可訪(fǎng)問(wèn)客戶(hù)信息或掌握客戶(hù)業(yè)務(wù)運行信息的云服務(wù)商簽訂保密協(xié)議，以及對能夠接觸客戶(hù)信息或掌握客戶(hù)業(yè)務(wù)運行信息的云服務(wù)商內部員工與其簽訂保密協(xié)議,并作為合同附件，保密協(xié)議應至少包括：合規要求、敏感信息披露、發(fā)現與報告、保密協(xié)議的有效期。

三、云服務(wù)平臺開(kāi)發(fā)測試與交付審計

（一）業(yè)務(wù)概述

組織部署云服務(wù)平臺可根據自身的能力，可選擇自建、二次開(kāi)發(fā)或完全采購。因此，對該生命周期的檢查，重點(diǎn)在于檢查組織是否建立完善的開(kāi)發(fā)、測試和驗收的管理流程，從而確保在云服務(wù)平臺交付后得以穩定運行。

若組織直接從云服務(wù)商處采購的云服務(wù)不涉及二次開(kāi)發(fā)，則該項審計內容可不予考慮。

（二）審計目標和內容

1.云平臺開(kāi)發(fā)規劃

該控制項旨在檢查組織進(jìn)行云服務(wù)平臺開(kāi)發(fā)建設時(shí)，是否將開(kāi)發(fā)測試安全與平臺安全規劃納入到整體規劃建設方案當中，并提前制定平臺開(kāi)發(fā)的質(zhì)量管理、變更管理、測試與驗收以及開(kāi)發(fā)全過(guò)程安全監控等相關(guān)規范文檔。

2.開(kāi)發(fā)安全風(fēng)險管理

該控制項旨在檢查組織進(jìn)行云服務(wù)平臺開(kāi)發(fā)建設時(shí)，是否實(shí)施平臺開(kāi)發(fā)安全風(fēng)險管理，并將其集成到系統開(kāi)發(fā)各生命周期活動(dòng)中。

3.安全測試與培訓

該控制項旨在檢查組織在進(jìn)行云服務(wù)平臺開(kāi)發(fā)建設時(shí)是否制定相關(guān)的平臺測試計劃和規程，并對其進(jìn)行安全測試和平臺交付前的安全培訓。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.云服務(wù)平臺規劃與設計未同步考慮安全功能需求，導致安全整體保護能力不足。

2.云上應用的相關(guān)安全需求、安全架構和安全設計規范缺失，不利于落實(shí)各項安全要求，安全與功能建設未實(shí)現同步管理。

3.組織的云計算服務(wù)平臺由外部服務(wù)商進(jìn)行開(kāi)發(fā)建設時(shí)，未定義針對其安全措施有效性的持續監控計劃，可能導致持續監控失效的風(fēng)險。

4.云服務(wù)平臺的安全測試與培訓不到位，未發(fā)現潛在的安全漏洞，一旦漏洞被利用，可能造成云平臺重要數據泄露。

（四）審計的主要方法和程序

1.平臺開(kāi)發(fā)規劃

（1）檢查組織是否制定云服務(wù)平臺設計規范、安全架構以及涉及開(kāi)發(fā)過(guò)程的安全策略與規程等相關(guān)文檔,其應定義各項安全功能、機制和服務(wù)如何協(xié)同工作,以提供完整一致的保護能力，并查看其是否定義各階段的信息安全角色及相應責任人。

（2）檢查組織在進(jìn)行云計算服務(wù)系統開(kāi)發(fā)時(shí)，是否制定安全策略與規程等相關(guān)文檔,以及是否定義了系統生命周期,（如規劃階段、設計階段、實(shí)施階段、運維階段、廢止階段等），并提出各階段信息系統和服務(wù)的安全需求、安全架構和安全設計規范，并檢查系統規劃文檔、系統設計說(shuō)明書(shū)。

（3）檢查系統開(kāi)發(fā)安全策略與規程等相關(guān)文檔，是否定義了在系統生命周期中使用的系統工程方法、軟件開(kāi)發(fā)方法、測試技術(shù)和質(zhì)量控制過(guò)程，檢查開(kāi)發(fā)測試文檔、變更文檔。

（4）檢查組織云計算服務(wù)平臺由外部服務(wù)商進(jìn)行開(kāi)發(fā)建設時(shí)，是否定義了針對其安全措施有效性的持續監控計劃，并檢查持續監控計劃的詳細程度。

（5）檢查系統開(kāi)發(fā)安全策略與規程等相關(guān)文檔,是否對開(kāi)發(fā)的環(huán)境和預期運行環(huán)境、驗收準則及強制配置要求等進(jìn)行了描述，并檢查云計算平臺信息系統、組件或服務(wù)開(kāi)發(fā)清單中的相應管理文檔。

2.開(kāi)發(fā)安全風(fēng)險管理

（1）檢查系統開(kāi)發(fā)安全策略與規程等相關(guān)文檔,查看其是否有將信息安全風(fēng)險管理過(guò)程集成到系統開(kāi)發(fā)各生命周期活動(dòng)中的要求，并訪(fǎng)談相關(guān)安全負責人，了解風(fēng)險管理的落實(shí)情況。

（2）訪(fǎng)談相關(guān)安全負責人，詢(xún)問(wèn)組織是否對開(kāi)發(fā)商說(shuō)明的系統功能、端口、協(xié)議和服務(wù)進(jìn)行必要的風(fēng)險評估,并基于該評估結果禁用不必要或高風(fēng)險的功能、端口、協(xié)議或服務(wù)。

3.安全測試與培訓

（1）檢查組織或云服務(wù)平臺開(kāi)發(fā)商是否制定測試計劃與測試規程等文檔，查看其是否定義了在單元、集成、系統以及回歸測試或評估時(shí)應執行的深度和覆蓋面，并檢查云計算服務(wù)系統的測試報告及代碼安全審查。

（2）檢查是否對云服務(wù)平臺部署前進(jìn)行滲透測試和安全評估，了解其存在的脆弱性和威脅，并檢查測試和評估報告是否出自獨立第三方。

（3）檢查系統開(kāi)發(fā)安全策略與規程等相關(guān)文檔,查看其是否定義了開(kāi)發(fā)商需提供的有助于正確使用所交付系統或產(chǎn)品中的安全功能、措施和機制的培訓,是否要求開(kāi)發(fā)商提供所定義的培訓，并檢查相關(guān)培訓記錄。

四、云計算平臺的安全管理審計

（一）業(yè)務(wù)概述

是指云計算平臺的安全合規管理，信息安全等級保護檢查測評及其他安全規范遵循工作。

（二）審計目標和內容

1.合規識別與制度制定

該控制項旨在檢查組織是否準確識別與云計算相關(guān)的安全合規要求，如數據安全、數據存儲等內容，同時(shí)制定云服務(wù)平臺安全管理的規章制度及安全監督指標。

2.云服務(wù)安全管理角色及責任

該控制項旨在檢查組織在其內部是否識別并定義云服務(wù)管理的角色及其安全職責，特別關(guān)注是否涉及與客戶(hù)、云服務(wù)提供商共同確定的涉及云計算服務(wù)的安全職責，同時(shí)檢查職責設置的合理性。

3.信息安全等級保護落實(shí)檢查

該控制項旨在檢查組織部署的云服務(wù)平臺是否依據等保要求定級備案，并定期開(kāi)展等保的落實(shí)檢查工作。

4.資源保障

該控制項旨在檢查組織是否為云服務(wù)平臺的開(kāi)發(fā)部署和后期運行從制度層面提供保證機制并檢查工作的落實(shí)情況。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.云服務(wù)平臺安全管理策略與制度不健全，無(wú)法有效發(fā)揮安全監督作用。

2.云服務(wù)安全管理角色及責任定義不清晰，無(wú)法有效落實(shí)云平臺安全管控要求。

3.未定期開(kāi)展信息安全等級保護檢查，無(wú)法及時(shí)發(fā)現現有控制措施與等保的差距，同時(shí)存在合規風(fēng)險。

（四）審計的主要方法和程序

1.合規識別與制度制定

（1）檢查組織是否制定了云服務(wù)平臺安全管理的規章制度，查看其內容是否至少包括云服務(wù)平臺的安全制度與策略、安全組織與人員的相關(guān)規程、評審和更新信息安全規章制度的頻率。

（2）訪(fǎng)談系統安全負責人、外部服務(wù)提供商、開(kāi)發(fā)商或客戶(hù)等內外部相關(guān)人員,詢(xún)問(wèn)傳達信息安全規章制度的情況，信息安全規章制度的評審和更新的情況，并檢查是否按要求進(jìn)行了信息安全規章制度的評審和更新。

（3）檢查組織是否收集和整理相關(guān)的法律、法規、政策和標準要求,并形成合規文件清單。

2.云服務(wù)安全管理角色及責任

（1）調閱安全組織與人員策略與規程等相關(guān)文檔,查看是否明確崗位信息安全職責要求,定義需進(jìn)行分離的關(guān)鍵職責從而滿(mǎn)足關(guān)鍵職責分離要求。

（2）訪(fǎng)談系統管理員、賬號管理員或安全管理員等相關(guān)人員,詢(xún)問(wèn)通過(guò)訪(fǎng)問(wèn)控制措施進(jìn)行職責分離落實(shí)的情況。

（3）檢查崗位信息安全職責的相關(guān)文檔,查看其是否有與客戶(hù)和云服務(wù)提供商共同確定涉及云計算服務(wù)的安全職責。

（4）檢查組織是否對已確立的責任，包括組織自身、客戶(hù)和云服務(wù)提供商進(jìn)行監管與檢查，從而確保安全責任的落實(shí)。

3.信息安全等級保護落實(shí)檢查

（1）檢查組織是否基于已部署的云服務(wù)平臺上存儲數據和運行的重要性及受到侵害的程度對其進(jìn)行等保定級。

（2）檢查組織是否基于云服務(wù)平臺的等保級別定期開(kāi)展等保落實(shí)檢查工作，并調閱相關(guān)檢查文檔。

4.資源保障

（1）查閱組織的云服務(wù)管理制度文檔，檢查是否有為云服務(wù)平臺開(kāi)發(fā)部署和后期運行提供資源保障的承諾描述。

（2）檢查工作計劃、預算管理過(guò)程文檔,查看是否有為保護信息系統和服務(wù)提供所需資源(如有關(guān)資金、場(chǎng)地、人力等)的項目。

（3）訪(fǎng)談信息安全負責人或系統安全負責人等相關(guān)人員,詢(xún)問(wèn)為保護信息系統和服務(wù)所需資源的落實(shí)情況。

五、云計算平臺的遷移與部署審計

（一）業(yè)務(wù)概述

是指組織根據自身的安全需求和云計算服務(wù)的安全能力要求，制定云計算服務(wù)遷移與部署計劃并加以實(shí)施，確保數據和業(yè)務(wù)可以安全地向云計算平臺進(jìn)行遷移與部署。

（二）審計目標和內容

1.遷移計劃

該控制項旨在檢查組織在進(jìn)行云服務(wù)平臺遷移、部署前是否制定完善的遷移方案并對遷移過(guò)程可能產(chǎn)生的風(fēng)險進(jìn)行分析并制定應對方案，從而為后期執行遷移部署提供保證。

2.平臺遷移測試與部署

該控制項旨在檢查組織是否依據已制定的遷移方案進(jìn)行部署前的測試，并在部署完成后進(jìn)行云服務(wù)平臺的運行測試，從而保證云服務(wù)平臺滿(mǎn)足既定的各項服務(wù)指標。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.未制定遷移部署方案或未嚴格執行遷移部署方案，導致遷移失敗或遷移過(guò)程中業(yè)務(wù)中斷和數據丟失。

2.未開(kāi)展針對遷移部署過(guò)程的風(fēng)險分析，無(wú)法根據識別出的風(fēng)險制定應對方案和回退策略。

3.云服務(wù)平臺部署后，未依據既定的驗收標準對平臺的功能、性能和安全性進(jìn)行測試，平臺功能未滿(mǎn)足預期要求并存在安全隱患。

（四）審計的主要方法和程序

1.遷移計劃

（1）檢查組織是否制定遷移部署方案（一次性遷移、階段性遷移）和實(shí)施進(jìn)度計劃表，明確參與人員及職責，并查閱方案是否經(jīng)過(guò)審批。

（2）是否制定遷移部署的培訓計劃并對參與人員進(jìn)行相關(guān)培訓。

（3）是否開(kāi)展針對遷移部署過(guò)程的風(fēng)險分析，如數據丟失、業(yè)務(wù)中斷、部署過(guò)程中組織客戶(hù)數據和資源權限的泄露等，并根據識別出的風(fēng)險制定應對方案和回退策略。

2.平臺遷移測試與部署

（1）檢查組織是否根據事前制定的平臺遷移測試計劃，組織技術(shù)力量或委托第三方對云服務(wù)平臺的遷移（包括數據和系統）進(jìn)行部署前的測試，查看測試評估報告和整改建議并檢查具體整改措施的執行情況。

（2）檢查組織是否采取技術(shù)手段，確保遷移前后數據的完整性與保密性，并調閱數據完整性測試報告。

（3）檢查組織在云服務(wù)平臺部署后，是否依據既定的驗收標準和監控指標對平臺的功能、性能和安全性進(jìn)行監控與測試，在滿(mǎn)足要求后投入運行，并調閱運行驗收測試報告。

六、云計算平臺的安全運維審計

（一）業(yè)務(wù)概述

云平臺投入運行后，雖然客戶(hù)將部分控制和管理任務(wù)轉移給云服務(wù)商,但最終安全責任還是由客戶(hù)自身承擔。因此需要對自身的云計算服務(wù)運維進(jìn)行良好的安全管理。

（二）審計目標和內容

1.網(wǎng)絡(luò )與通信安全

該控制項旨在從兩種視角，針對網(wǎng)絡(luò )與通信安全，檢查組織或云服務(wù)商是否采取有效的措施，保證云服務(wù)平臺的安全，包括實(shí)施物理和虛擬網(wǎng)絡(luò )及主機的安全區域劃分、安全隔離、安全防護，并采取管理和技術(shù)措施確保網(wǎng)絡(luò )與通信的安全性和可用性。

2.身份鑒別

該控制項旨在檢查組織或云服務(wù)提供者是否在云計算環(huán)境中，針對云用戶(hù)、租戶(hù)和管理員采取多種身份鑒別手段，并確保在系統整個(gè)生命周期內用戶(hù)標識的唯一性，以及對主機、虛擬機監視器和管理平臺采用證書(shū)技術(shù)，確保證書(shū)的可信度和系統的抗抵賴(lài)性，檢查整個(gè)身份鑒別機制的相關(guān)配置是否受到統一控制。

3.訪(fǎng)問(wèn)控制

該控制項旨在檢查組織或云服務(wù)商是否針對物理資源、虛擬資源、網(wǎng)絡(luò )與通信和用戶(hù)與管理員制定相應的訪(fǎng)問(wèn)控制策略并據此執行。

4.惡意代碼與入侵防范

該控制項旨在檢查組織或云服務(wù)商的云服務(wù)平臺是否具有從基礎設施層到資源抽象層的區域邊界和惡意代碼防護功能，并部署相應的產(chǎn)品；是否制定惡意代碼庫的升級策略并主動(dòng)進(jìn)行更新，并對惡意代碼進(jìn)行自動(dòng)檢測、防范和響應。

5.應用與數據安全

該控制項旨在檢查云服務(wù)商或組織是否采取措施對云服務(wù)平臺涉及的重要數據進(jìn)行有效識別和分類(lèi)，并從平臺數據靜態(tài)存儲、動(dòng)態(tài)傳輸與數據調用等三方面，檢查是否采取措施確保數據的機密性和完整性，以及為確保已識別出的重要數據的可用性采取備份與恢復措施，同時(shí)檢查云服務(wù)平臺對外接口的安全性。

6.安全監控與審計

該控制項旨在檢查組織或云服務(wù)商是否對云服務(wù)平臺制定安全監測的制度規范與策略，明確安全監控指標和監控對象，至少應包括資源類(lèi)、安全事件和操作行為，并就云服務(wù)平臺的運營(yíng)管理開(kāi)展安全審計。（建立日志留痕記錄）

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.云計算服務(wù)系統安全區域劃分不合理，導致安全要求覆蓋不全面，存在安全風(fēng)險隱患。

2.云計算服務(wù)系統未部署流量檢測和清洗設備，無(wú)法對異常流量的監控和統計分析，受異常流量影響，導致網(wǎng)絡(luò )不可用。

3.云計算服務(wù)系統身份鑒別機制不嚴格，導致身份認證機制被繞過(guò)，造成重要數據或敏感信息的泄露。

4.云計算服務(wù)系統審計功能未開(kāi)啟或審計日志未定期查看，無(wú)法及時(shí)發(fā)現存在的違規操作或風(fēng)險隱患。

（四）審計的主要方法和程序

1.網(wǎng)絡(luò )與通信安全

（1）查閱網(wǎng)絡(luò )拓撲圖，并訪(fǎng)談安全管理人員，了解組織或云服務(wù)提供商是否對云計算服務(wù)系統根據業(yè)務(wù)安全需要對平臺資源層、服務(wù)層和應用層進(jìn)行安全區域的劃分，并在安全邊界進(jìn)行隔離防護，同時(shí)，云租戶(hù)之間及租戶(hù)內部也應根據安全業(yè)務(wù)需要、等級保護原則和業(yè)務(wù)生命周期進(jìn)一步劃分安全區域，制定各區域的安全策略并部署隔離防護設施，從而實(shí)現網(wǎng)絡(luò )隔離和虛擬機之間的隔離。（區域邊界劃分、網(wǎng)絡(luò )安全隔離與防護、虛擬安全域劃分）

（2）檢查虛擬機監視器、云管理平臺，查看同一宿主機內虛擬機之間、虛擬機與物理機之間流量是否能被識別、監控，并查看不同宿主機的虛擬機之間、虛擬機與物理機之間流量是否能被識別、監控。（流量監管）

（3）檢查網(wǎng)絡(luò )架構、配置策略和云管理平臺，查看是否實(shí)現管理流量和業(yè)務(wù)流量的分離，以及云平臺管理流量與云租戶(hù)業(yè)務(wù)流量的分離。（流量分離）

（4）檢查云服務(wù)提供商或組織是否對云計算系統各組成部分之間、虛擬機之間、云計算系統內部通信網(wǎng)絡(luò )，通過(guò)通信完整性校驗、密碼技術(shù)和VPN技術(shù)確保網(wǎng)絡(luò )和通信的完整性與安全性。（網(wǎng)絡(luò )安全性）

（5）檢查云服務(wù)提供商或組織是否部署流量檢測和清洗設備，實(shí)現對異常流量的監控和統計分析，防止因異常流量造成的網(wǎng)絡(luò )不可用。（網(wǎng)絡(luò )可用性）

（6）查閱網(wǎng)絡(luò )拓撲圖，檢查服務(wù)商或組織對網(wǎng)絡(luò )是否采用冗余技術(shù)，對關(guān)鍵鏈路、主要物理網(wǎng)絡(luò )設備、虛擬網(wǎng)絡(luò )設備、網(wǎng)絡(luò )核心和匯聚層等部署冗余設備，并根據租戶(hù)、主機和應用的業(yè)務(wù)重要程度，劃分對應的網(wǎng)絡(luò )帶寬優(yōu)先級，從而確保網(wǎng)絡(luò )的可用性。（網(wǎng)絡(luò )可用性）

2.身份鑒別

（1）檢查組織是否制定身份認證和賬號策略，包括用戶(hù)身份與終端綁定、完整性驗證檢查、賬號鎖定、賬號時(shí)效、禁止重復登錄等策略,并采取兩種及兩種以上組合機制對用戶(hù)身份進(jìn)行驗證，對系統管理員和安全管理員是否采用單點(diǎn)登錄的集中用戶(hù)驗證機制。（單點(diǎn)登錄、集中用戶(hù)認證）

（2）檢查用戶(hù)的驗證信息是否加密存儲，限制登錄口令最小長(cháng)度和更換周期。

（3）檢查云管理平臺，在進(jìn)行遠程管理時(shí)，是否對管理終端和云平臺邊界設備之間建立雙向身份驗證機制（如證書(shū)、共享密鑰等），并限制訪(fǎng)問(wèn)重要物理資源及虛擬資源、安全管理中心的遠程登錄地址。（遠程登錄身份認證）

（4）檢查網(wǎng)絡(luò )策略控制器和網(wǎng)絡(luò )設備（或設備代理）之間是否建立雙向身份驗證機制，并驗證網(wǎng)絡(luò )設備防護能力是否符合要求。（設備間的身份鑒別）

3.訪(fǎng)問(wèn)控制

（1）檢查服務(wù)商或組織是否基于系統業(yè)務(wù)類(lèi)型、重要性或信息的重要程度，根據安全域的劃分，制定訪(fǎng)問(wèn)控制策略，并檢查不同安全等級網(wǎng)絡(luò )區域邊界訪(fǎng)問(wèn)控制機制部署情況及訪(fǎng)問(wèn)控制規則，從而判斷針對邊界訪(fǎng)問(wèn)控制機制或邊界訪(fǎng)問(wèn)控制設備、不同虛擬機間訪(fǎng)問(wèn)控制、虛擬機遷移是否得到有效控制。

（網(wǎng)絡(luò )訪(fǎng)問(wèn)控制，虛擬資源訪(fǎng)問(wèn)控制）

（2）檢查服務(wù)商或組織是否對特權用戶(hù)、系統管理員、用戶(hù)和云租戶(hù)依據“最小授權”原則和“職責分離”原則進(jìn)行訪(fǎng)問(wèn)控制權限的設置。

（3）檢查服務(wù)商或組織是否對包括用戶(hù)、訪(fǎng)問(wèn)協(xié)議實(shí)現對云服務(wù)平臺的網(wǎng)絡(luò )設備訪(fǎng)問(wèn)進(jìn)行控制。

（4）檢查服務(wù)商或組織是否制定并部署針對虛擬機和多租戶(hù)的訪(fǎng)問(wèn)控制策略，并允許租戶(hù)在自身虛擬機上部署各自的訪(fǎng)問(wèn)控制策略，或通過(guò)在虛擬機監視器上集中部署訪(fǎng)問(wèn)控制策略。（虛擬化和多租戶(hù)訪(fǎng)問(wèn)控制）

4.惡意代碼與入侵防范

（1）檢查云服務(wù)提供商或組織內部是否制定惡意代碼和入侵防范系統特征庫的更新策略，并檢查惡意代碼版本和入侵防范系統特征庫是否與其服務(wù)提供商的最新版本相一致。

（2）檢查惡意代碼防護系統是否采取集中管理、統一部署的方式，可自動(dòng)對惡意代碼感染及其在虛擬機之間的蔓延進(jìn)行檢測和告警，并在監測到破壞后進(jìn)行修復，同時(shí)為確保虛擬機安全系統建立惡意代碼傳播路徑的追蹤和安全隔離。（惡意代碼防范）

（3）檢查惡意代碼保護和入侵防范的對象，在基礎設施層到資源抽象層是否針對包括宿主機和虛擬主機以及虛擬機監視器和云管理平臺。

（4）檢查云服務(wù)提供商或組織內部是否在（高風(fēng)險）區域邊界和關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處部署惡意代碼防護系統，從而實(shí)現對終端、web應用、郵件系統、數據庫、中間件、網(wǎng)絡(luò )虛擬化軟件、虛擬機監視器或云管理平臺惡意代碼檢測與清除，特別是虛擬服務(wù)器之間數據交換和云終端接入通信。

（5）檢查云服務(wù)提供商或組織內部是否在區域邊界、關(guān)鍵業(yè)務(wù)系統采取相關(guān)技術(shù)措施，根據風(fēng)險大小，在其附近部署入侵檢測與防范系統，從而實(shí)現對用戶(hù)行為、惡意流量、惡意攻擊、惡意掃描及異常流量和未知威脅的識別、監控、防護，同時(shí)對上述活動(dòng)進(jìn)行數據收集、存儲和分析。（入侵防范）

（6）檢查部署的入侵檢測與防范系統日志，審計日志記錄內容是否與審計信息相關(guān)及是否受到安全保護和定期備份，防止非預期的修改、刪除和覆蓋，并檢查云服務(wù)提供商或組織是否對日志進(jìn)行關(guān)聯(lián)分析并進(jìn)行關(guān)聯(lián)響應。

5.應用與數據安全

（1）檢查組織是否制定針對云服務(wù)平臺對外接口的安全策略，并檢查接口設計文檔或開(kāi)放性服務(wù)技術(shù)文檔，查看是否符合開(kāi)放性及安全性要求。

（2）檢查組織是否對云服務(wù)平臺對外接口進(jìn)行滲透測試或代碼審計并調閱測試或審計報告，從而驗證是否存在安全漏洞或安全隱患。

（3）檢查云服務(wù)商或組織是否針對系統管理數據（如鏡像文件、快照）、鑒別信息和重要業(yè)務(wù)數據，在存儲、傳輸過(guò)程（包括云計算系統內部和虛擬機之間的通信）中，使用具有完整性校驗和加密的技術(shù)與工具進(jìn)行完整性校驗，從而防止在存儲和傳輸過(guò)程中遭到破壞、惡意篡改和泄露，并對不一致的數據進(jìn)行恢復。（鏡像與快照保護）

（4）檢查是否采用完整性校驗算法和工具防止被惡意篡改。

（5）檢查云服務(wù)商或組織是否使用統一的調用接口，對存儲和使用環(huán)節的數據進(jìn)行完整性檢查。

（6）檢查云服務(wù)商或組織對上層提供接口、操作云服務(wù)控制平臺、向云主機或云存儲系統及數據庫傳輸數據是否采用加密技術(shù)，包括加密協(xié)議、算法。

（7）檢查云服務(wù)商或組織是否針對云服務(wù)系統涉及的本地數據、在線(xiàn)數據、重要業(yè)務(wù)信息及軟件系統，根據重要程度和數據敏感性，制定分類(lèi)分級策略及相應的備份恢復策略，對不同等級的數據進(jìn)行備份與恢復。

（8）檢查是否制定并實(shí)施針對虛擬資源數據級、系統級和應用級的冗余備份。

6.安全監控與安全審計

（1）訪(fǎng)談系統安全負責人，詢(xún)問(wèn)制定哪些相關(guān)策略從而對安全措施有效性進(jìn)行持續監控，并檢查云平臺對安全措施有效性進(jìn)行持續監控，監控應至少包括漏洞與補丁監控、宿主機監控、網(wǎng)絡(luò )監控、用戶(hù)/租戶(hù)/管理員的操作行為監控、網(wǎng)絡(luò )安全事件監控和系統行為監控。（安全監控）

（2）檢查審計策略與規程等相關(guān)文檔,查看是否可對上述監控對象進(jìn)行審計，并定義可（連續）審計事件,是否制定并維護該審計事件清單，及是否定義了需連續審計事件的審計頻率。（連續性審計）

（3）檢查審計范圍是否包括重要用戶(hù)行為、系統安全事件、數據庫行為、虛擬機的遷移、虛擬資源申請、虛擬資源調度、虛擬資源分配、虛擬資源異常使用和重要命令進(jìn)行安全審計，以及是否可以實(shí)現集中審計或第三方審計。

（4）檢查審計策略與規程等相關(guān)文檔,查看是否對審計記錄內容提出要求，應至少包含:事件類(lèi)型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結果以及與事件相關(guān)的用戶(hù)或主體的身份等相關(guān)信息，并檢查日志的存儲安全和存儲周期是否符合審計策略與規程。

（5）檢查審計策略與規程等相關(guān)文檔,查看是否建立了與其他組織針對安全審計的協(xié)調機制。（外部審計協(xié)調）

（6）檢查組織是否根據不同的審計對象部署審計產(chǎn)品，并登錄查看審計功能是否開(kāi)啟并基于審計策略進(jìn)行配置，查看審計記錄是否包含所規定的審計內容。

（7）檢查審計記錄存儲容量配置信息,查看是否按照要求配置了相應的存儲容量。

（8）檢查審計策略與規程等相關(guān)文檔,查看是否定義了當審計過(guò)程失敗時(shí)接收報警信息的人員（角色）清單。

（9）檢查審計系統配置信息,查看是否有系統審計過(guò)程失敗的報警機制，并訪(fǎng)談云服務(wù)商定義的人員或角色,詢(xún)問(wèn)接收到審計失敗告警信息的情況和處理機制與流程。

（10）檢查審計策略與規程、系統設計說(shuō)明書(shū)等相關(guān)文檔,查看是否提供審計處理和審計報告生成的機制，以及是否支持實(shí)時(shí)或準實(shí)時(shí)的審查、分析和報告,并對安全事件的事后調查。

（11）檢查審計策略與規程等相關(guān)文檔,查看是否定義了在線(xiàn)保存審計記錄的時(shí)間段,是否要求支持安全事件的事后調查,是否要求符合法律法規及客戶(hù)的信息留存的要求，并檢查記錄留存的時(shí)間配置信息,查看是否與定義的時(shí)間段一致。

七、服務(wù)關(guān)閉與數據遷移審計

（一）業(yè)務(wù)概述

是指組織在云服務(wù)關(guān)閉與數據遷移前應當制定關(guān)閉當前云服務(wù)平臺或向其他云服務(wù)平臺遷移時(shí)相關(guān)流程，從而確保組織完整退出當前云服務(wù)階段，同時(shí)確保原云服務(wù)商的相關(guān)責任和義務(wù)得到履行。

（二）審計目標和內容

1.關(guān)閉和遷移規劃

該控制項旨在檢查組織是否就云服務(wù)平臺關(guān)閉及其所涉及的平臺數據遷移制定相應的規劃方案和應急預案，從而確保數據遷移的妥善執行以及服務(wù)的連續性、可用性。

2.數據遷移及完整性和保密性保障

該控制項旨在檢查組織在云服務(wù)平臺關(guān)閉時(shí)所進(jìn)行的平臺數據遷移操作是否有效確保組織數據的完整性和保密性。

（三）常見(jiàn)問(wèn)題和風(fēng)險

1.原有云平臺上存儲的數據完全未返回組織或執行徹底清除程序，導致殘留數據泄露。

2.未制定云平臺數據遷移和資料移交清單，導致遷移數據不完整或資料不全面，影響遷移效果，也不利于遷移資料的規范化管理。

（四）審計的主要方法和程序

1.關(guān)閉和遷移規劃

（1）檢查組織是否制定云服務(wù)平臺關(guān)閉及其數據遷移的規劃、方案、流程，從而確保平臺數據和業(yè)務(wù)的可用性、連續性，如是否制定回退方案和應急預案等。

（2）檢查組織是否對回退方案或應急預案進(jìn)行測試并調閱測試報告。

2.數據遷移及完整性和保密性保障

（1）檢查組織是否制定平臺數據遷移和資料移交清單，包括客戶(hù)移交給云服務(wù)商的數據和資料,以及客戶(hù)業(yè)務(wù)系統在云計算平臺上運行期間產(chǎn)生、收集的數據以及相關(guān)文檔資料,如數據文件、程序代碼、說(shuō)明書(shū)、技術(shù)資料、運行日志等。

（2）檢查組織是否為確保遷移數據的完整性和保密性而采取相應的措施。

（3）調閱組織平臺數據遷移的歷史記錄和遷移數據完整性、有效性測試報告。

（4）調閱原有云服務(wù)合同，了解組織對于原云服務(wù)商平臺數據存儲的時(shí)限要求和刪除要求，并查閱相關(guān)數據刪除與介質(zhì)銷(xiāo)毀的歷史記錄，判斷是否符合組織數據與介質(zhì)銷(xiāo)毀的服務(wù)要求。