概述 本标准描述了公共云用户、公共云服务提供商、审核员和认证机构的相关云计算安全实践和控制。该标准涵盖了 CSP 应满足的每一层的最低要求。其他组织的特定要求不在本标准的范围内。该标准分别在附录 B 和附录 C 中为云用户和云服务提供商提供了附加指南。排除 本标准不: a) 要求将控制应用于整个组织,而是可以将控制应用于特定的服务产品和支持基础设施; b) 优先于任何现有和未来的法律和法规; c) 对组织与云服务提供商之间协商的合同中包含的服务级别协议拥有任何法律权力; d) 满足云服务提供商应遵守的管理正常业务运营的法律要求或其他要求。此类要求的例子包括涵盖建筑和消防安全、职业健康和安全、版权法规和现行人力资源实践的详细法规; e) 指定供应商特定的控制措施。读者应根据需要参考供应商文献和其他技术参考资料。受众 目标受众包括: a) 提供 IaaS、PaaS 和 SaaS 作为其服务一部分的云服务提供商; b) 云服务提供商聘请的支持云环境的第三方服务提供商; c) 公共云计算用户; d) 审核员执行云审核; e) 执行云安全评估并提供云计算认证的认证机构。认证云服务提供商将根据多级框架进行认证,其中包括不同级别的安全要求,如本标准中针对每种不同服务产品的规定。