5.9　開發商安全體系架構

無。

詳見GB/T31168－2014中5.9.2的a）、b）、c）和d）。

——檢查系統開發與供應鏈安全策略與規程，查看其是否要求開發商制定設計規范和安全架構，是否要求該架構符合下列條件：

1）該架構應符合或支持云服務商的安全架構。

2）準確完整地描述了所需的安全功能，并且為物理和邏輯組件分配了安全措施。

3）說明各項安全功能、機制和服務如何協同工作，以提供完整一致的保護能力。

——檢查云服務商收到的設計規范和安全架構以及云服務商的安全架構相關文檔，查看其是否符合上述1）、2）和3）的要求。

——檢查系統開發與供應鏈安全策略與規程，查看其是否有要求開發商提供云服務所需的與安全相關的硬件、軟件和固件的相關信息說明的內容；

——檢查云服務商收到的相關文檔，例如設計規范、管理員文檔等，查看其是否符合要求。

——檢查系統開發與供應鏈安全策略與規程，查看其是否要求開發商編制非形式化的高層說明書，說明安全相關的硬件、軟件和固件的接口；是否要求開發商通過非形式化的證明，說明該高層說明書完全覆蓋了與安全相關的硬件、軟件和固件的接口；

——檢查云服務商收到的非形式化高層說明書，查看其是否說明安全相關的硬件、軟件和固件的接口；

——檢查云服務商收到的非形式化的證明文檔，查看其是否完全覆蓋了與安全相關的硬件、軟件和固件的接口。

——檢查系統開發與供應鏈安全策略與規程，查看其是否有要求開發商在構造安全相關的硬件、軟件和固件時，須考慮便于測試、便于實現最小特權訪問控制等因素的內容；

——訪談云服務商的系統開發人員或開發商等相關人員，詢問其在構造安全相關的硬件、軟件和固件時，考慮的便于測試、便于實現最小特權訪問控制等因素的實現情況。

本文章首發在網安wangan.com 網站上。

暫無個人描述~

點贊