GB/T 38249—2019 信息安全技術 政府網站云計算服務安全指南9.2 安全職責
9.2.1 云服務客戶
云服務客戶在退出服務階段的安全職責如下:
a) 應提前做好應用和數據的備份,在SaaS模式下僅需備份數據;
b) 對云服務商返還的數據完整性進行驗證,如將文檔資料、數據、程序放在新的平臺上運行驗證;
c) 應監督云服務商返還數據的過程,并對數據進行測試;
9.2.2 云服務商
云服務商在退出服務階段的安全職責如下:
a) 應制定詳細的移交清單,包括運行期間產生、收集的數據以及相關文檔資料;
b) 應徹底刪除云服務客戶數據信息及所有備份,對云服務客戶的數據存儲介質應徹底清理;
c) 應根據移交清單返還云服務客戶數據信息(包括歷史數據和歸檔數據)。
9.2.3 云服務代理商
云服務代理商在退出服務階段的安全職責如下:
a) 應協助云服務客戶進行政府網站的退出服務工作;
b) 應根據與云服務客戶簽訂的服務協議、合同,向云服務客戶交付相應的程序、數據、文檔等;
c) 應確保在退出服務后,徹底銷毀云服務客戶信息。
9.2.4 第三方評估機構
在退出服務階段,云服務客戶可委托第三方評估機構對退出過程進行監督審計,第三方評估機構的安全職責如下:
a) 第三方評估機構配合云服務客戶對云服務商及云服務代理商的退出環節進行審計;
b) 在退出服務工作結束后,第三方評估機構應配合云服務客戶對云服務端進行安全審計測試,查看云服務商是否全面清除數據。
推薦文章: