前  言

引  言

1　范围

2　规范性引用文件

3　术语和定义

4.1 云计算安全措施的实施责任 4.2 云计算安全措施的作用范围 4.3 安全要求的分类 4.4 安全要求的表述形式 4.5 安全要求的调整 4.6 安全计划 4.7 本标准的结构

5.1 策略与规程 5.2 资源分配 5.3 系统生命周期 5.4 采购过程 5.5 系统文档 5.6 安全工程原则 5.7 关键性分析 5.8 外部信息系统服务及相关服务 5.9 开发商安全体系架构 5.10 开发过程、标准和工具 5.11 开发商配置管理 5.12 开发商安全测试和评估 5.13 开发商提供的培训 5.14 防篡改 5.15 组件真实性 5.16 不被支持的系统组件 5.17 供应链保护

6.1 策略与规程 6.2 边界保护 6.3 传输保密性和完整性 6.4 网络中断 6.5 可信路径 6.6 密码使用和管理 6.7 协同计算设备 6.8 移动代码 6.9 会话认证 6.10 移动设备的物理连接 6.11 恶意代码防护 6.12 内存防护 6.13 系统虚拟化安全性 6.14 网络虚拟化安全性 6.15 存储虚拟化安全性

7.1 策略与规程 7.2 用户标识与鉴别 7.3 设备标识与鉴别 7.4 标识符管理 7.5 鉴别凭证管理 7.6 鉴别凭证反馈 7.7 密码模块鉴别 7.8 账号管理 7.9 访问控制的实施 7.10 信息流控制 7.11 最小特权 7.12 未成功的登录尝试 7.13 系统使用通知 7.14 前次访问通知 7.15 并发会话控制 7.16 会话锁定 7.17 未进行标识和鉴别情况下可采取的行动 7.18 安全属性 7.19 远程访问 7.20 无线访问 7.21 外部信息系统的使用 7.22 信息共享 7.23 可供公众访问的内容 7.24 数据挖掘保护 7.25 介质访问和使用 7.26 服务关闭和数据迁移

8.1 策略与规程 8.2 配置管理计划 8.3 基线配置 8.4 变更控制 8.5 配置参数的设置 8.6 最小功能原则 8.7 信息系统组件清单

9.1 策略与规程 9.2 受控维护 9.3 维护工具 9.4 远程维护 9.5 维护人员 9.6 及时维护 9.7 缺陷修复 9.8 安全功能验证 9.9 软件、固件、信息完整性

10.1 策略与规程 10.2 事件处理计划 10.3 事件处理 10.4 事件报告 10.5 事件处理支持 10.6 安全警报 10.7 错误处理 10.8 应急响应计划 10.9 应急培训 10.10 应急演练 10.11 信息系统备份 10.12 支撑客户的业务连续性计划 10.13 电信服务

11.1 策略与规程 11.2 可审计事件 11.3 审计记录内容 11.4 审计记录存储容量 11.5 审计过程失败时的响应 11.6 审计的审查、分析和报告 11.7 审计处理和报告生成 11.8 时间戳 11.9 审计信息保护 11.10 不可否认性 11.11 审计记录留存 12.1 策略与规程

12.2 风险评估 12.3 脆弱性扫描 12.4 持续监控 12.5 信息系统监测 12.6 垃圾信息监测

13.1 策略与规程 13.2 安全组织 13.3 安全资源 13.4 安全规章制度 13.5 岗位风险与职责 13.6人员筛选 13.7人员离职 13.8人员调动 13.9 访问协议 13.10 第三方人员安全