本标准给出了依据GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。本标准适用于专业技术机构对云服务商安全能力进行评估,也适用于云服务商自评估。
专业技术机构在评估时遵循客观公正、可重复和可再现、灵活、最小影响及保密的原则,综合采用访谈、检查和测试等基本评估方法,主要对系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应和灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等安全措施实施情况进行评估,以核实云服务商提供的云计算服务安全能力是否达到了一般安全能力或增强安全能力要求。
