数据保密性:a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。c)应确保虚拟系统迁移过程中,重要数据的保密性,防止在迁移过程中的重要数据泄露。
数据备份和恢复:a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障。d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。e)应提供查询云租户数据及备份存储位置的方式。f)应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统。g)应具备系统级备份能力,定期对信息系统中的系统级信息进行备份,如系统状态、操作系统及应用软件。h)应防止通过备份过程访问云租户的明文数据。
安全意识教育和培训:a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。d)应对安全教育和培训的情况和结果进行记录并归档保存。
系统定级:a)应明确信息系统的边界和安全保护等级。b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由。c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。d)应确保信息系统的定级结果经过相关部门的批准。
安全评估:a)制定并实施安全评估计划。b)对信息系统、组件或服务进行安全性测试或评估。c)提供安全评估计划的实施证明材料,并提供安全评估结果。d)实施可验证的缺陷修复过程。e)更正在安全评估过程中发现的脆弱性和不足。f)要求信息系统、组件或服务的开发商在开发阶段使用静态代码分析工具识别常见缺陷,并记录分析结果。g)要求信息系统、组件或服务的开发商实施威胁和脆弱性分析,并测试或评估已开发完成的信息系统、组件或服务。h)在对信息系统、组件或服务的开发商进行评估时,应:1)选择满足具有资质的第三方,验证开发商实施安全评估计划的正确性以及在安全测试或评估过程中产生的证据;2)确保独立第三方能够获得足够的资料来完成验证过程,或已被授予获得此类信息的访问权限。i)要求信息系统、组件或服务的开发商对特定代码实施人工代码审查,审查结果应易于理解且向云服务商提供,并确保云服务商可重构系统。j)要求信息系统、组件或服务的开发商按照合同要求进行渗透性测试。k)要求信息系统、组件或服务的开发商分析所提供的硬件、软件和固件容易受到攻击的脆弱点。l)要求信息系统、组件或服务的开发商验证安全措施测试或评估过程满足合同要求。