云计算安全扩展要求
二、安全物理环境
安全物理环境针对云计算平台/系统部署的物理机房及基础设施位置提出了安全控制扩展要求,主要对象为物理机房、办公场地和云平台建设方案等,涉及的安全控制点为基础设施位置。
控制点
1.
基础设施位置
云计算机房、网络设备、安全设备、服务器以及存储介质等基础设施的位置选取,对于保障安全物理环境有着重要的作用,是保障云计算环境安全的前提。
a)
安全要求:应保证云计算基础设施位于中国境内。
要求解读:云服务商对机房选址时,应确保机房位于中国境内,确保云计算服务器及运行关键业务和数据的物理设备等基础设施位于中国境内。
检查方法
1.核查最新的机房清单及云计算平台建设方案
2.核查云计算服务器及运行关键业务和数据的物理设备等基础设施是否都在中国境内。
期望结果
整个云计算环境的机房、云计算服器及运行关键业务和数据的物理设备等基础设施均位于中国境内。
高风险判定
满足以下条件即可判定为高风险且无补偿措施:
云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。