云安全審計

云計算作為一種新興的計算資源利用方式逐漸被各行業(yè)所接受和部署。采用了云計算技術的信息系統(tǒng)，稱為云計算平臺（系統(tǒng)）。云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）是三種基本的云計算服務模式。在不同的服務模式中，云服務商和云服務客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。

由于云服務平臺建設的復雜性以及傳統(tǒng)信息系統(tǒng)安全和云計算自身技術特點所引發(fā)的新的信息安全和風險，與傳統(tǒng)信息系統(tǒng)安全審計相比,對于云服務平臺的安全審計有其自身的特點。本節(jié)將從云服務規(guī)劃與需求分析、供應商選擇與合同簽署、云服務平臺開發(fā)測試與交付、云計算平臺的安全管理、云計算平臺的遷移與部署、云計算平臺的安全運維、云計算服務關閉與數(shù)據(jù)遷移等方面對云安全審計的方法與步驟進行描述。

一、云服務規(guī)劃與需求分析審計

（一）業(yè)務概述

在規(guī)劃與需求分析階段,組織應根據(jù)自身的經營戰(zhàn)略與規(guī)劃，通過對組織資產、云服務平臺功能性、非功能性和安全性等四個方面的需求分析，以及云服務的效益評估,綜合評判部署云計算服務平臺的合理性及其建設模式，并最終形成決策報告。

（二）審計目標和內容

1.云服務綜合評估

該控制項旨在檢查組織在部署云計算服務平臺前，是否綜合評估采用云計算服務后獲得的效益（經濟效益和社會效益）、可能面臨的信息安全風險、可以采取的安全措施后做出決策，從而判斷組織是否可在其可承受、容忍的風險范圍內,或在當安全風險引發(fā)信息安全事件時有適當?shù)目刂苹蜓a救措施而采用云計算服務。

2.決策建議與審批

該控制項旨在檢查組織在部署云服務平臺時，是否在基于服務綜合評估的基礎之上，對其進行綜合分析形成采用云計算服務的決策報告,并經本單位最高領導批準，從而成為指導采用云計算服務的重要依據(jù)。

（三）常見問題和風險

1.云平臺規(guī)劃與建設時未充分考慮部署模式、服務模式對于經濟效益、功能性需求、現(xiàn)有資源利用、現(xiàn)有流程的影響，導致項目建設與預期差距較大，經濟效益較差。

2.云平臺規(guī)劃與建設時未充分考慮數(shù)據(jù)安全和整體安全防護，導致云平臺安全管控能力不足，容易造成數(shù)據(jù)泄露或安全風險。

3.云平臺建設缺乏嚴格的審批程度，導致需求模糊、邊界不清晰、性能不滿足預期要求，嚴重影響云平臺的交付和使用。

（四）審計的主要方法和程序

1.云服務綜合評估

（1）查閱組織項目建設的相關制度規(guī)范，了解涉及科技項目建設的評價指標和流程。

（2）檢查組織是否對業(yè)務進行識別并進行優(yōu)先級劃分，并訪談關鍵業(yè)務部門負責人，了解關鍵業(yè)務特點、資源需求、時延、連續(xù)性以及安全保護的要求。

（3）訪談信息科技建設負責人，了解組織在規(guī)劃建設云服務平臺項目時是否基于部署模式（公有云、私有云和混合云）、服務模式（IaaS、PaaS、SaaS）對經濟效益、功能性需求、非功能性需求、安全需求、現(xiàn)有資源利用/需求情況、現(xiàn)有信息系統(tǒng)管理流程是否受到影響等方面進行綜合評估，以及評估、審批的流程，參與人員，并調閱項目建設的立項文檔，從而判斷效益評估的合理性、科學性以及合規(guī)性，其中，效益評估應至少包括建設成本、運維成本、人力成本、創(chuàng)新性以及對業(yè)務性能和質量帶來的優(yōu)勢。

（4）檢查組織與數(shù)據(jù)管理相關的規(guī)章制度，了解組織是否明確數(shù)據(jù)類型，并查看數(shù)據(jù)存放的位置，從而判斷云平臺數(shù)據(jù)是否涉及敏感信息以及數(shù)據(jù)存儲的合規(guī)性。

（5）訪談云服務平臺負責人，了解現(xiàn)有的云部署模式和服務模式，并詢問其對在該模式下的安全風險和平臺運營者所應承擔的安全責任知曉情況及其采取的常規(guī)安全防護措施、平臺可移植和互操作性，從而判斷現(xiàn)有云服務平臺對業(yè)務的安全風險承受能力。

（6）檢查組織是否對其資產進行識別和歸屬分析，從而明確其部署的軟件所有權/使用權，數(shù)據(jù)資產的歸屬權。

2.決策建議與審批

（1）查閱云計算服務平臺建設項目的決策報告，檢查是否包括：背景描述，描述擬采用云計算服務的信息和業(yè)務；效益分析，從場地、人員、設備、軟件、運行管理、維護升級、能耗等方面,對采用本地應用與云計算服務所需費用進行綜合分析；云計算服務模式、部署模式選擇，從而明確客戶與云服務商的安全措施、實施邊界和管理邊界；數(shù)據(jù)和業(yè)務部署到云計算環(huán)境后可能遇到的功能需求分析，不同模式下的資源需求分析，數(shù)據(jù)的備份與數(shù)據(jù)的傳輸方式和網絡帶寬要求等；擬部署到云服務平臺中數(shù)據(jù)或系統(tǒng)的可用性、可靠性、恢復能力、事務響應時間、吞吐率等指標；基于對擬部署到云計算平臺的信息和業(yè)務的安全能力要求；將業(yè)務系統(tǒng)遷移到云計算平臺后,為確保業(yè)務連續(xù)性進行的部署方案;退出云計算服務或變更云服務商的初步方案；對客戶相關人員進行安全意識、技術和管理培訓的方案；本單位負責采用云計算服務的領導、工作機構及其責任；采購和使用云計算服務過程中應該考慮的其他重要事項。

（2）檢查決策報告是否經過業(yè)務部門及管理層或專家團隊的評審，以及審批流程是否完整；若存在改進建議是否及時完善從而有效控制風險。

二、供應商選擇與合同簽署審計

（一）業(yè)務概述

在服務商選擇與合同部署階段,客戶應根據(jù)上階段所提的需求和決策報告，從服務能力、服務風險和服務費用等三個方面評估云服務商的服務能力,選擇并與其協(xié)商和簽署服務合同(包括服務水平協(xié)議、安全需求、保密要求等內容)，從而完成云服務平臺的開發(fā)、建設、測試以及數(shù)據(jù)和業(yè)務向云計算平臺的遷移與部署。

（二）審計目標和內容

1.云服務安全風險評估

該控制項旨在重點檢查組織是否從數(shù)據(jù)安全與存儲合規(guī)角度，結合自身對部署云服務平臺后可能產生風險的容忍度和處置能力進行評估，并作為云服務商選擇和評估的參考依據(jù)。

2.服務安全能力評估

該控制項旨在檢查組織在選擇第三方云服務平臺時，是否對其基本的服務安全能力進行評估。

3.云安全控制措施責任的識別

該控制項旨在檢查組織是否基于所選擇的云服務部署模式，明確與服務提供方的責任。

4.云服務合同及保密協(xié)議簽署

該控制項旨在檢查組織在選擇第三方云服務商時，是否與其簽署服務合同，并檢查其內容是否包含明確的服務水平協(xié)議、安全需求、保密要求等關鍵內容，從而保障組織的權益。

（三）常見問題和風險

1.組織沒有對云環(huán)境下其數(shù)據(jù)所有權的保障能力進行風險評估的風險。

2.組織沒有根據(jù)采用的服務模式（IaaS、PaaS、SaaS），明確云服務提供商與自身所承擔安全責任的風險，以及沒有能力采取相應的控制措施所產生的風險。

3.組織所選擇的云服務商自身安全風險管控體系不完善，自身的安全評估不足，導致存在較大風險隱患。

4.云服務商第三方機構審計不到位，無法對云服務商的風險進行識別與監(jiān)督。

5.云服務商安全與應急響應機制不健全，導致發(fā)生安全事件無法及時進行處置。

（四）審計的主要方法和程序

1.云服務安全風險評估

（1）檢查云服務平臺存儲的生產經營數(shù)據(jù)是否屬于國家規(guī)定的重要數(shù)據(jù)范疇，從而判斷組織是否存在可能的數(shù)據(jù)管轄風險。（數(shù)據(jù)管轄風險）

（2）檢查組織是否對其數(shù)據(jù)所有權的保障能力進行風險評估。（數(shù)據(jù)所有權保障風險）

（3）檢查組織所部署的云服務平臺是否提供或具有有效的機制、標準或工具來驗證所刪除的數(shù)據(jù)可否完全刪除，以防止其退出云計算服務后組織數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。（數(shù)據(jù)殘留風險評估）

（4）評估是否存在單一云服務供應商的風險。（供應商鎖定的風險評估）

2.服務安全能力評估

（1）對云服務平臺所處的機房物理與環(huán)境保護能力進行檢查或評估，確保云服務商機房位于中國境內并符合國家標準規(guī)范，機房是否采取監(jiān)控措施以確保最低限度的人員物理接觸。

（物理安全，數(shù)據(jù)境內存儲）

（2）檢查云服務商或組織自身是否建立風險評估體系和監(jiān)控目標清單，從而確保在威脅環(huán)境發(fā)生變化時，對云計算平臺定期進行風險評估,確保云計算平臺的安全風險處于可接受水平，并監(jiān)控目標清單,對目標進行持續(xù)安全監(jiān)控，在發(fā)生異常和非授權情況時發(fā)出警報。（風險管理，安全監(jiān)控）

（3）檢查云服務商是否接受云租戶以外的第三方運行監(jiān)管，并定期開展云安全審計，并向組織或社會定期公布安全審計報告。（第三方安全監(jiān)管，云安全審計）

（4）檢查云服務商是否建立針對云計算平臺設施和軟件維護所使用有效控制維護機制并具備相關能力，包括制度、工具、技術、人員及能力。（云安全監(jiān)控）

（5）檢查云服務商是否提供通用的安全控制措施，以及針對組織特定的應用需要及服務模式，提供專用的安全控制措施，并制定每個應用或服務的安全計劃。（通用安全控制措施，專用安全控制措施）

（6）檢查云服務商是否提供開放接口或開放性安全服務，允許組織接入第三方安全產品或在云平臺選擇第三方安全服務，支持異構方式對云租戶的網絡、主機、應用、數(shù)據(jù)層的安全措施進行實施。（第三方安全產品接入）

（7）檢查云服務商的云服務平臺是否通過安全測試及國家等級保護認證，以及其供應商通過安全測評，從而對其安全措施的有效性進行驗證和評估，并檢查相關資質證書和安全檢測報告，必要時須向組織提交供應商清單。（安全測試評估，等保安全測評，產品及服務安全檢查）

（8）檢查云服務商是否為云計算平臺制定應急響應計劃并具備容災恢復能力,建立必要的備份與恢復設施和機制應急響應與災備。（應急管理與應急處置）

（9）檢查云服務商的對外溝通渠道與方式，從而確保其具備在發(fā)生供應鏈安全事件信息、威脅信息、重大或緊急變更時能及時傳遞給組織。（應急溝通）

3.云安全控制措施責任的識別

檢查在公有云環(huán)境下，組織是否根據(jù)采用的服務模式（IaaS、PaaS、SaaS），明確云服務提供商與自身所承擔的安全責任，以及是否有能力采取相應的控制措施，如通用安全控制措施、專用安全控制措施和混合安全措施。（安全控制措施）

4.云服務合同及保密協(xié)議簽署

檢查組織與云服務商是否簽署服務合同，以及合同內容中是否包括：雙方的安全責任和義務；客戶方就云計算服務的安全功能要求、強度要求、保障要求、保密要求；云服務商應遵從的安全技術和管理標準；服務級別協(xié)議（SLA）及具體的參數(shù)，并對涉及術語、指標、管理范圍、職責劃分、訪問授權、隱私保護、行為準則進行確定；約定提供給云服務商的數(shù)據(jù)、設備等資源,以及云計算平臺上客戶業(yè)務運行過程中收集、產生、存儲的數(shù)據(jù)和文檔等都屬客戶所有,云服務商應保證客戶對這些資源的訪問、利用、支配等；約定利用云服務商平臺或與云服務商合作開發(fā)創(chuàng)造出成果（軟件、信息和計算成果）的所有權、使用權等歸屬問題；約定云服務商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關信息提供給他國政府及組織；未經客戶授權,不得訪問、修改、披露、利用、轉讓、銷毀客戶數(shù)據(jù);在服務合同終止時,應將數(shù)據(jù)、文檔等歸還給客戶,并按要求徹底清除數(shù)據(jù)。如果客戶有明確的留存要求,應按要求留存客戶數(shù)據(jù)；采取有效管理和技術措施確?？蛻魯?shù)據(jù)和業(yè)務系統(tǒng)的保密性、完整性和可用性。提供客戶有效的安全監(jiān)管、服務質量下降及應急處置的溝通渠道；約定當發(fā)生安全事件并造成損失時對客戶的經濟賠償；不以持有客戶數(shù)據(jù)相要挾,配合做好客戶數(shù)據(jù)和業(yè)務的遷移或退出；發(fā)生糾紛時,在雙方約定期限內仍應保證客戶數(shù)據(jù)安全；合同終止的條件及合同終止后云服務商應履行的責任和義務；若云計算平臺中的業(yè)務系統(tǒng)與客戶其他業(yè)務系統(tǒng)之間需要數(shù)據(jù)交互,約定交互方式和接口;云計算服務的計費方式、標準,客戶的支付方式等；安全審計的支持與報告。

檢查組織是否對可訪問客戶信息或掌握客戶業(yè)務運行信息的云服務商簽訂保密協(xié)議，以及對能夠接觸客戶信息或掌握客戶業(yè)務運行信息的云服務商內部員工與其簽訂保密協(xié)議,并作為合同附件，保密協(xié)議應至少包括：合規(guī)要求、敏感信息披露、發(fā)現(xiàn)與報告、保密協(xié)議的有效期。

三、云服務平臺開發(fā)測試與交付審計

（一）業(yè)務概述

組織部署云服務平臺可根據(jù)自身的能力，可選擇自建、二次開發(fā)或完全采購。因此，對該生命周期的檢查，重點在于檢查組織是否建立完善的開發(fā)、測試和驗收的管理流程，從而確保在云服務平臺交付后得以穩(wěn)定運行。

若組織直接從云服務商處采購的云服務不涉及二次開發(fā)，則該項審計內容可不予考慮。

（二）審計目標和內容

1.云平臺開發(fā)規(guī)劃

該控制項旨在檢查組織進行云服務平臺開發(fā)建設時，是否將開發(fā)測試安全與平臺安全規(guī)劃納入到整體規(guī)劃建設方案當中，并提前制定平臺開發(fā)的質量管理、變更管理、測試與驗收以及開發(fā)全過程安全監(jiān)控等相關規(guī)范文檔。

2.開發(fā)安全風險管理

該控制項旨在檢查組織進行云服務平臺開發(fā)建設時，是否實施平臺開發(fā)安全風險管理，并將其集成到系統(tǒng)開發(fā)各生命周期活動中。

3.安全測試與培訓

該控制項旨在檢查組織在進行云服務平臺開發(fā)建設時是否制定相關的平臺測試計劃和規(guī)程，并對其進行安全測試和平臺交付前的安全培訓。

（三）常見問題和風險

1.云服務平臺規(guī)劃與設計未同步考慮安全功能需求，導致安全整體保護能力不足。

2.云上應用的相關安全需求、安全架構和安全設計規(guī)范缺失，不利于落實各項安全要求，安全與功能建設未實現(xiàn)同步管理。

3.組織的云計算服務平臺由外部服務商進行開發(fā)建設時，未定義針對其安全措施有效性的持續(xù)監(jiān)控計劃，可能導致持續(xù)監(jiān)控失效的風險。

4.云服務平臺的安全測試與培訓不到位，未發(fā)現(xiàn)潛在的安全漏洞，一旦漏洞被利用，可能造成云平臺重要數(shù)據(jù)泄露。

（四）審計的主要方法和程序

1.平臺開發(fā)規(guī)劃

（1）檢查組織是否制定云服務平臺設計規(guī)范、安全架構以及涉及開發(fā)過程的安全策略與規(guī)程等相關文檔,其應定義各項安全功能、機制和服務如何協(xié)同工作,以提供完整一致的保護能力，并查看其是否定義各階段的信息安全角色及相應責任人。

（2）檢查組織在進行云計算服務系統(tǒng)開發(fā)時，是否制定安全策略與規(guī)程等相關文檔,以及是否定義了系統(tǒng)生命周期,（如規(guī)劃階段、設計階段、實施階段、運維階段、廢止階段等），并提出各階段信息系統(tǒng)和服務的安全需求、安全架構和安全設計規(guī)范，并檢查系統(tǒng)規(guī)劃文檔、系統(tǒng)設計說明書。

（3）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關文檔，是否定義了在系統(tǒng)生命周期中使用的系統(tǒng)工程方法、軟件開發(fā)方法、測試技術和質量控制過程，檢查開發(fā)測試文檔、變更文檔。

（4）檢查組織云計算服務平臺由外部服務商進行開發(fā)建設時，是否定義了針對其安全措施有效性的持續(xù)監(jiān)控計劃，并檢查持續(xù)監(jiān)控計劃的詳細程度。

（5）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關文檔,是否對開發(fā)的環(huán)境和預期運行環(huán)境、驗收準則及強制配置要求等進行了描述，并檢查云計算平臺信息系統(tǒng)、組件或服務開發(fā)清單中的相應管理文檔。

2.開發(fā)安全風險管理

（1）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關文檔,查看其是否有將信息安全風險管理過程集成到系統(tǒng)開發(fā)各生命周期活動中的要求，并訪談相關安全負責人，了解風險管理的落實情況。

（2）訪談相關安全負責人，詢問組織是否對開發(fā)商說明的系統(tǒng)功能、端口、協(xié)議和服務進行必要的風險評估,并基于該評估結果禁用不必要或高風險的功能、端口、協(xié)議或服務。

3.安全測試與培訓

（1）檢查組織或云服務平臺開發(fā)商是否制定測試計劃與測試規(guī)程等文檔，查看其是否定義了在單元、集成、系統(tǒng)以及回歸測試或評估時應執(zhí)行的深度和覆蓋面，并檢查云計算服務系統(tǒng)的測試報告及代碼安全審查。

（2）檢查是否對云服務平臺部署前進行滲透測試和安全評估，了解其存在的脆弱性和威脅，并檢查測試和評估報告是否出自獨立第三方。

（3）檢查系統(tǒng)開發(fā)安全策略與規(guī)程等相關文檔,查看其是否定義了開發(fā)商需提供的有助于正確使用所交付系統(tǒng)或產品中的安全功能、措施和機制的培訓,是否要求開發(fā)商提供所定義的培訓，并檢查相關培訓記錄。

四、云計算平臺的安全管理審計

（一）業(yè)務概述

是指云計算平臺的安全合規(guī)管理，信息安全等級保護檢查測評及其他安全規(guī)范遵循工作。

（二）審計目標和內容

1.合規(guī)識別與制度制定

該控制項旨在檢查組織是否準確識別與云計算相關的安全合規(guī)要求，如數(shù)據(jù)安全、數(shù)據(jù)存儲等內容，同時制定云服務平臺安全管理的規(guī)章制度及安全監(jiān)督指標。

2.云服務安全管理角色及責任

該控制項旨在檢查組織在其內部是否識別并定義云服務管理的角色及其安全職責，特別關注是否涉及與客戶、云服務提供商共同確定的涉及云計算服務的安全職責，同時檢查職責設置的合理性。

3.信息安全等級保護落實檢查

該控制項旨在檢查組織部署的云服務平臺是否依據(jù)等保要求定級備案，并定期開展等保的落實檢查工作。

4.資源保障

該控制項旨在檢查組織是否為云服務平臺的開發(fā)部署和后期運行從制度層面提供保證機制并檢查工作的落實情況。

（三）常見問題和風險

1.云服務平臺安全管理策略與制度不健全，無法有效發(fā)揮安全監(jiān)督作用。

2.云服務安全管理角色及責任定義不清晰，無法有效落實云平臺安全管控要求。

3.未定期開展信息安全等級保護檢查，無法及時發(fā)現(xiàn)現(xiàn)有控制措施與等保的差距，同時存在合規(guī)風險。

（四）審計的主要方法和程序

1.合規(guī)識別與制度制定

（1）檢查組織是否制定了云服務平臺安全管理的規(guī)章制度，查看其內容是否至少包括云服務平臺的安全制度與策略、安全組織與人員的相關規(guī)程、評審和更新信息安全規(guī)章制度的頻率。

（2）訪談系統(tǒng)安全負責人、外部服務提供商、開發(fā)商或客戶等內外部相關人員,詢問傳達信息安全規(guī)章制度的情況，信息安全規(guī)章制度的評審和更新的情況，并檢查是否按要求進行了信息安全規(guī)章制度的評審和更新。

（3）檢查組織是否收集和整理相關的法律、法規(guī)、政策和標準要求,并形成合規(guī)文件清單。

2.云服務安全管理角色及責任

（1）調閱安全組織與人員策略與規(guī)程等相關文檔,查看是否明確崗位信息安全職責要求,定義需進行分離的關鍵職責從而滿足關鍵職責分離要求。

（2）訪談系統(tǒng)管理員、賬號管理員或安全管理員等相關人員,詢問通過訪問控制措施進行職責分離落實的情況。

（3）檢查崗位信息安全職責的相關文檔,查看其是否有與客戶和云服務提供商共同確定涉及云計算服務的安全職責。

（4）檢查組織是否對已確立的責任，包括組織自身、客戶和云服務提供商進行監(jiān)管與檢查，從而確保安全責任的落實。

3.信息安全等級保護落實檢查

（1）檢查組織是否基于已部署的云服務平臺上存儲數(shù)據(jù)和運行的重要性及受到侵害的程度對其進行等保定級。

（2）檢查組織是否基于云服務平臺的等保級別定期開展等保落實檢查工作，并調閱相關檢查文檔。

4.資源保障

（1）查閱組織的云服務管理制度文檔，檢查是否有為云服務平臺開發(fā)部署和后期運行提供資源保障的承諾描述。

（2）檢查工作計劃、預算管理過程文檔,查看是否有為保護信息系統(tǒng)和服務提供所需資源(如有關資金、場地、人力等)的項目。

（3）訪談信息安全負責人或系統(tǒng)安全負責人等相關人員,詢問為保護信息系統(tǒng)和服務所需資源的落實情況。

五、云計算平臺的遷移與部署審計

（一）業(yè)務概述

是指組織根據(jù)自身的安全需求和云計算服務的安全能力要求，制定云計算服務遷移與部署計劃并加以實施，確保數(shù)據(jù)和業(yè)務可以安全地向云計算平臺進行遷移與部署。

（二）審計目標和內容

1.遷移計劃

該控制項旨在檢查組織在進行云服務平臺遷移、部署前是否制定完善的遷移方案并對遷移過程可能產生的風險進行分析并制定應對方案，從而為后期執(zhí)行遷移部署提供保證。

2.平臺遷移測試與部署

該控制項旨在檢查組織是否依據(jù)已制定的遷移方案進行部署前的測試，并在部署完成后進行云服務平臺的運行測試，從而保證云服務平臺滿足既定的各項服務指標。

（三）常見問題和風險

1.未制定遷移部署方案或未嚴格執(zhí)行遷移部署方案，導致遷移失敗或遷移過程中業(yè)務中斷和數(shù)據(jù)丟失。

2.未開展針對遷移部署過程的風險分析，無法根據(jù)識別出的風險制定應對方案和回退策略。

3.云服務平臺部署后，未依據(jù)既定的驗收標準對平臺的功能、性能和安全性進行測試，平臺功能未滿足預期要求并存在安全隱患。

（四）審計的主要方法和程序

1.遷移計劃

（1）檢查組織是否制定遷移部署方案（一次性遷移、階段性遷移）和實施進度計劃表，明確參與人員及職責，并查閱方案是否經過審批。

（2）是否制定遷移部署的培訓計劃并對參與人員進行相關培訓。

（3）是否開展針對遷移部署過程的風險分析，如數(shù)據(jù)丟失、業(yè)務中斷、部署過程中組織客戶數(shù)據(jù)和資源權限的泄露等，并根據(jù)識別出的風險制定應對方案和回退策略。

2.平臺遷移測試與部署

（1）檢查組織是否根據(jù)事前制定的平臺遷移測試計劃，組織技術力量或委托第三方對云服務平臺的遷移（包括數(shù)據(jù)和系統(tǒng)）進行部署前的測試，查看測試評估報告和整改建議并檢查具體整改措施的執(zhí)行情況。

（2）檢查組織是否采取技術手段，確保遷移前后數(shù)據(jù)的完整性與保密性，并調閱數(shù)據(jù)完整性測試報告。

（3）檢查組織在云服務平臺部署后，是否依據(jù)既定的驗收標準和監(jiān)控指標對平臺的功能、性能和安全性進行監(jiān)控與測試，在滿足要求后投入運行，并調閱運行驗收測試報告。

六、云計算平臺的安全運維審計

（一）業(yè)務概述

云平臺投入運行后，雖然客戶將部分控制和管理任務轉移給云服務商,但最終安全責任還是由客戶自身承擔。因此需要對自身的云計算服務運維進行良好的安全管理。

（二）審計目標和內容

1.網絡與通信安全

該控制項旨在從兩種視角，針對網絡與通信安全，檢查組織或云服務商是否采取有效的措施，保證云服務平臺的安全，包括實施物理和虛擬網絡及主機的安全區(qū)域劃分、安全隔離、安全防護，并采取管理和技術措施確保網絡與通信的安全性和可用性。

2.身份鑒別

該控制項旨在檢查組織或云服務提供者是否在云計算環(huán)境中，針對云用戶、租戶和管理員采取多種身份鑒別手段，并確保在系統(tǒng)整個生命周期內用戶標識的唯一性，以及對主機、虛擬機監(jiān)視器和管理平臺采用證書技術，確保證書的可信度和系統(tǒng)的抗抵賴性，檢查整個身份鑒別機制的相關配置是否受到統(tǒng)一控制。

3.訪問控制

該控制項旨在檢查組織或云服務商是否針對物理資源、虛擬資源、網絡與通信和用戶與管理員制定相應的訪問控制策略并據(jù)此執(zhí)行。

4.惡意代碼與入侵防范

該控制項旨在檢查組織或云服務商的云服務平臺是否具有從基礎設施層到資源抽象層的區(qū)域邊界和惡意代碼防護功能，并部署相應的產品；是否制定惡意代碼庫的升級策略并主動進行更新，并對惡意代碼進行自動檢測、防范和響應。

5.應用與數(shù)據(jù)安全

該控制項旨在檢查云服務商或組織是否采取措施對云服務平臺涉及的重要數(shù)據(jù)進行有效識別和分類，并從平臺數(shù)據(jù)靜態(tài)存儲、動態(tài)傳輸與數(shù)據(jù)調用等三方面，檢查是否采取措施確保數(shù)據(jù)的機密性和完整性，以及為確保已識別出的重要數(shù)據(jù)的可用性采取備份與恢復措施，同時檢查云服務平臺對外接口的安全性。

6.安全監(jiān)控與審計

該控制項旨在檢查組織或云服務商是否對云服務平臺制定安全監(jiān)測的制度規(guī)范與策略，明確安全監(jiān)控指標和監(jiān)控對象，至少應包括資源類、安全事件和操作行為，并就云服務平臺的運營管理開展安全審計。（建立日志留痕記錄）

（三）常見問題和風險

1.云計算服務系統(tǒng)安全區(qū)域劃分不合理，導致安全要求覆蓋不全面，存在安全風險隱患。

2.云計算服務系統(tǒng)未部署流量檢測和清洗設備，無法對異常流量的監(jiān)控和統(tǒng)計分析，受異常流量影響，導致網絡不可用。

3.云計算服務系統(tǒng)身份鑒別機制不嚴格，導致身份認證機制被繞過，造成重要數(shù)據(jù)或敏感信息的泄露。

4.云計算服務系統(tǒng)審計功能未開啟或審計日志未定期查看，無法及時發(fā)現(xiàn)存在的違規(guī)操作或風險隱患。

（四）審計的主要方法和程序

1.網絡與通信安全

（1）查閱網絡拓撲圖，并訪談安全管理人員，了解組織或云服務提供商是否對云計算服務系統(tǒng)根據(jù)業(yè)務安全需要對平臺資源層、服務層和應用層進行安全區(qū)域的劃分，并在安全邊界進行隔離防護，同時，云租戶之間及租戶內部也應根據(jù)安全業(yè)務需要、等級保護原則和業(yè)務生命周期進一步劃分安全區(qū)域，制定各區(qū)域的安全策略并部署隔離防護設施，從而實現(xiàn)網絡隔離和虛擬機之間的隔離。（區(qū)域邊界劃分、網絡安全隔離與防護、虛擬安全域劃分）

（2）檢查虛擬機監(jiān)視器、云管理平臺，查看同一宿主機內虛擬機之間、虛擬機與物理機之間流量是否能被識別、監(jiān)控，并查看不同宿主機的虛擬機之間、虛擬機與物理機之間流量是否能被識別、監(jiān)控。（流量監(jiān)管）

（3）檢查網絡架構、配置策略和云管理平臺，查看是否實現(xiàn)管理流量和業(yè)務流量的分離，以及云平臺管理流量與云租戶業(yè)務流量的分離。（流量分離）

（4）檢查云服務提供商或組織是否對云計算系統(tǒng)各組成部分之間、虛擬機之間、云計算系統(tǒng)內部通信網絡，通過通信完整性校驗、密碼技術和VPN技術確保網絡和通信的完整性與安全性。（網絡安全性）

（5）檢查云服務提供商或組織是否部署流量檢測和清洗設備，實現(xiàn)對異常流量的監(jiān)控和統(tǒng)計分析，防止因異常流量造成的網絡不可用。（網絡可用性）

（6）查閱網絡拓撲圖，檢查服務商或組織對網絡是否采用冗余技術，對關鍵鏈路、主要物理網絡設備、虛擬網絡設備、網絡核心和匯聚層等部署冗余設備，并根據(jù)租戶、主機和應用的業(yè)務重要程度，劃分對應的網絡帶寬優(yōu)先級，從而確保網絡的可用性。（網絡可用性）

2.身份鑒別

（1）檢查組織是否制定身份認證和賬號策略，包括用戶身份與終端綁定、完整性驗證檢查、賬號鎖定、賬號時效、禁止重復登錄等策略,并采取兩種及兩種以上組合機制對用戶身份進行驗證，對系統(tǒng)管理員和安全管理員是否采用單點登錄的集中用戶驗證機制。（單點登錄、集中用戶認證）

（2）檢查用戶的驗證信息是否加密存儲，限制登錄口令最小長度和更換周期。

（3）檢查云管理平臺，在進行遠程管理時，是否對管理終端和云平臺邊界設備之間建立雙向身份驗證機制（如證書、共享密鑰等），并限制訪問重要物理資源及虛擬資源、安全管理中心的遠程登錄地址。（遠程登錄身份認證）

（4）檢查網絡策略控制器和網絡設備（或設備代理）之間是否建立雙向身份驗證機制，并驗證網絡設備防護能力是否符合要求。（設備間的身份鑒別）

3.訪問控制

（1）檢查服務商或組織是否基于系統(tǒng)業(yè)務類型、重要性或信息的重要程度，根據(jù)安全域的劃分，制定訪問控制策略，并檢查不同安全等級網絡區(qū)域邊界訪問控制機制部署情況及訪問控制規(guī)則，從而判斷針對邊界訪問控制機制或邊界訪問控制設備、不同虛擬機間訪問控制、虛擬機遷移是否得到有效控制。

（網絡訪問控制，虛擬資源訪問控制）

（2）檢查服務商或組織是否對特權用戶、系統(tǒng)管理員、用戶和云租戶依據(jù)“最小授權”原則和“職責分離”原則進行訪問控制權限的設置。

（3）檢查服務商或組織是否對包括用戶、訪問協(xié)議實現(xiàn)對云服務平臺的網絡設備訪問進行控制。

（4）檢查服務商或組織是否制定并部署針對虛擬機和多租戶的訪問控制策略，并允許租戶在自身虛擬機上部署各自的訪問控制策略，或通過在虛擬機監(jiān)視器上集中部署訪問控制策略。（虛擬化和多租戶訪問控制）

4.惡意代碼與入侵防范

（1）檢查云服務提供商或組織內部是否制定惡意代碼和入侵防范系統(tǒng)特征庫的更新策略，并檢查惡意代碼版本和入侵防范系統(tǒng)特征庫是否與其服務提供商的最新版本相一致。

（2）檢查惡意代碼防護系統(tǒng)是否采取集中管理、統(tǒng)一部署的方式，可自動對惡意代碼感染及其在虛擬機之間的蔓延進行檢測和告警，并在監(jiān)測到破壞后進行修復，同時為確保虛擬機安全系統(tǒng)建立惡意代碼傳播路徑的追蹤和安全隔離。（惡意代碼防范）

（3）檢查惡意代碼保護和入侵防范的對象，在基礎設施層到資源抽象層是否針對包括宿主機和虛擬主機以及虛擬機監(jiān)視器和云管理平臺。

（4）檢查云服務提供商或組織內部是否在（高風險）區(qū)域邊界和關鍵網絡節(jié)點處部署惡意代碼防護系統(tǒng)，從而實現(xiàn)對終端、web應用、郵件系統(tǒng)、數(shù)據(jù)庫、中間件、網絡虛擬化軟件、虛擬機監(jiān)視器或云管理平臺惡意代碼檢測與清除，特別是虛擬服務器之間數(shù)據(jù)交換和云終端接入通信。

（5）檢查云服務提供商或組織內部是否在區(qū)域邊界、關鍵業(yè)務系統(tǒng)采取相關技術措施，根據(jù)風險大小，在其附近部署入侵檢測與防范系統(tǒng)，從而實現(xiàn)對用戶行為、惡意流量、惡意攻擊、惡意掃描及異常流量和未知威脅的識別、監(jiān)控、防護，同時對上述活動進行數(shù)據(jù)收集、存儲和分析。（入侵防范）

（6）檢查部署的入侵檢測與防范系統(tǒng)日志，審計日志記錄內容是否與審計信息相關及是否受到安全保護和定期備份，防止非預期的修改、刪除和覆蓋，并檢查云服務提供商或組織是否對日志進行關聯(lián)分析并進行關聯(lián)響應。

5.應用與數(shù)據(jù)安全

（1）檢查組織是否制定針對云服務平臺對外接口的安全策略，并檢查接口設計文檔或開放性服務技術文檔，查看是否符合開放性及安全性要求。

（2）檢查組織是否對云服務平臺對外接口進行滲透測試或代碼審計并調閱測試或審計報告，從而驗證是否存在安全漏洞或安全隱患。

（3）檢查云服務商或組織是否針對系統(tǒng)管理數(shù)據(jù)（如鏡像文件、快照）、鑒別信息和重要業(yè)務數(shù)據(jù)，在存儲、傳輸過程（包括云計算系統(tǒng)內部和虛擬機之間的通信）中，使用具有完整性校驗和加密的技術與工具進行完整性校驗，從而防止在存儲和傳輸過程中遭到破壞、惡意篡改和泄露，并對不一致的數(shù)據(jù)進行恢復。（鏡像與快照保護）

（4）檢查是否采用完整性校驗算法和工具防止被惡意篡改。

（5）檢查云服務商或組織是否使用統(tǒng)一的調用接口，對存儲和使用環(huán)節(jié)的數(shù)據(jù)進行完整性檢查。

（6）檢查云服務商或組織對上層提供接口、操作云服務控制平臺、向云主機或云存儲系統(tǒng)及數(shù)據(jù)庫傳輸數(shù)據(jù)是否采用加密技術，包括加密協(xié)議、算法。

（7）檢查云服務商或組織是否針對云服務系統(tǒng)涉及的本地數(shù)據(jù)、在線數(shù)據(jù)、重要業(yè)務信息及軟件系統(tǒng)，根據(jù)重要程度和數(shù)據(jù)敏感性，制定分類分級策略及相應的備份恢復策略，對不同等級的數(shù)據(jù)進行備份與恢復。

（8）檢查是否制定并實施針對虛擬資源數(shù)據(jù)級、系統(tǒng)級和應用級的冗余備份。

6.安全監(jiān)控與安全審計

（1）訪談系統(tǒng)安全負責人，詢問制定哪些相關策略從而對安全措施有效性進行持續(xù)監(jiān)控，并檢查云平臺對安全措施有效性進行持續(xù)監(jiān)控，監(jiān)控應至少包括漏洞與補丁監(jiān)控、宿主機監(jiān)控、網絡監(jiān)控、用戶/租戶/管理員的操作行為監(jiān)控、網絡安全事件監(jiān)控和系統(tǒng)行為監(jiān)控。（安全監(jiān)控）

（2）檢查審計策略與規(guī)程等相關文檔,查看是否可對上述監(jiān)控對象進行審計，并定義可（連續(xù)）審計事件,是否制定并維護該審計事件清單，及是否定義了需連續(xù)審計事件的審計頻率。（連續(xù)性審計）

（3）檢查審計范圍是否包括重要用戶行為、系統(tǒng)安全事件、數(shù)據(jù)庫行為、虛擬機的遷移、虛擬資源申請、虛擬資源調度、虛擬資源分配、虛擬資源異常使用和重要命令進行安全審計，以及是否可以實現(xiàn)集中審計或第三方審計。

（4）檢查審計策略與規(guī)程等相關文檔,查看是否對審計記錄內容提出要求，應至少包含:事件類型、事件發(fā)生的時間和地點、事件來源、事件結果以及與事件相關的用戶或主體的身份等相關信息，并檢查日志的存儲安全和存儲周期是否符合審計策略與規(guī)程。

（5）檢查審計策略與規(guī)程等相關文檔,查看是否建立了與其他組織針對安全審計的協(xié)調機制。（外部審計協(xié)調）

（6）檢查組織是否根據(jù)不同的審計對象部署審計產品，并登錄查看審計功能是否開啟并基于審計策略進行配置，查看審計記錄是否包含所規(guī)定的審計內容。

（7）檢查審計記錄存儲容量配置信息,查看是否按照要求配置了相應的存儲容量。

（8）檢查審計策略與規(guī)程等相關文檔,查看是否定義了當審計過程失敗時接收報警信息的人員（角色）清單。

（9）檢查審計系統(tǒng)配置信息,查看是否有系統(tǒng)審計過程失敗的報警機制，并訪談云服務商定義的人員或角色,詢問接收到審計失敗告警信息的情況和處理機制與流程。

（10）檢查審計策略與規(guī)程、系統(tǒng)設計說明書等相關文檔,查看是否提供審計處理和審計報告生成的機制，以及是否支持實時或準實時的審查、分析和報告,并對安全事件的事后調查。

（11）檢查審計策略與規(guī)程等相關文檔,查看是否定義了在線保存審計記錄的時間段,是否要求支持安全事件的事后調查,是否要求符合法律法規(guī)及客戶的信息留存的要求，并檢查記錄留存的時間配置信息,查看是否與定義的時間段一致。

七、服務關閉與數(shù)據(jù)遷移審計

（一）業(yè)務概述

是指組織在云服務關閉與數(shù)據(jù)遷移前應當制定關閉當前云服務平臺或向其他云服務平臺遷移時相關流程，從而確保組織完整退出當前云服務階段，同時確保原云服務商的相關責任和義務得到履行。

（二）審計目標和內容

1.關閉和遷移規(guī)劃

該控制項旨在檢查組織是否就云服務平臺關閉及其所涉及的平臺數(shù)據(jù)遷移制定相應的規(guī)劃方案和應急預案，從而確保數(shù)據(jù)遷移的妥善執(zhí)行以及服務的連續(xù)性、可用性。

2.數(shù)據(jù)遷移及完整性和保密性保障

該控制項旨在檢查組織在云服務平臺關閉時所進行的平臺數(shù)據(jù)遷移操作是否有效確保組織數(shù)據(jù)的完整性和保密性。

（三）常見問題和風險

1.原有云平臺上存儲的數(shù)據(jù)完全未返回組織或執(zhí)行徹底清除程序，導致殘留數(shù)據(jù)泄露。

2.未制定云平臺數(shù)據(jù)遷移和資料移交清單，導致遷移數(shù)據(jù)不完整或資料不全面，影響遷移效果，也不利于遷移資料的規(guī)范化管理。

（四）審計的主要方法和程序

1.關閉和遷移規(guī)劃

（1）檢查組織是否制定云服務平臺關閉及其數(shù)據(jù)遷移的規(guī)劃、方案、流程，從而確保平臺數(shù)據(jù)和業(yè)務的可用性、連續(xù)性，如是否制定回退方案和應急預案等。

（2）檢查組織是否對回退方案或應急預案進行測試并調閱測試報告。

2.數(shù)據(jù)遷移及完整性和保密性保障

（1）檢查組織是否制定平臺數(shù)據(jù)遷移和資料移交清單，包括客戶移交給云服務商的數(shù)據(jù)和資料,以及客戶業(yè)務系統(tǒng)在云計算平臺上運行期間產生、收集的數(shù)據(jù)以及相關文檔資料,如數(shù)據(jù)文件、程序代碼、說明書、技術資料、運行日志等。

（2）檢查組織是否為確保遷移數(shù)據(jù)的完整性和保密性而采取相應的措施。

（3）調閱組織平臺數(shù)據(jù)遷移的歷史記錄和遷移數(shù)據(jù)完整性、有效性測試報告。

（4）調閱原有云服務合同，了解組織對于原云服務商平臺數(shù)據(jù)存儲的時限要求和刪除要求，并查閱相關數(shù)據(jù)刪除與介質銷毀的歷史記錄，判斷是否符合組織數(shù)據(jù)與介質銷毀的服務要求。