GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法5.16 不被支持的系統組件
5.16.1 一般要求
無。
5.16.2 增強要求
5.16.2.1 評估內容
詳見GB/T31168-2014中5.16.2的a)和b)。
5.16.2.2 評估方法
5.16.2.2.1 對a)的評估方法為:
——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有系統組件不被支持時替換該系統組件的要求;
——訪談系統安全負責人或維護人員等相關人員,詢問其是否有替換系統組件的情況,以及系統組件不被提供支持時替換該組件的處理情況;
——檢查系統組件替換方案、資產清單和組件替換記錄等相關文檔,查看其是否在系統組件不被支持時替換該系統組件。
5.16.2.2.2 對b)的評估方法為:
——檢查系統開發與供應鏈安全策略與規程等相關文檔,查看其是否有在系統組件不被支持但又需使用時,提供正當理由并經過本組織領導層批準的要求;是否有為該組件提供內部支持或定義了其他外部提供商支持的要求;
——訪談系統安全負責人或維護人員等相關人員,詢問其是否有系統組件不被提供支持而又需使用的情況,以及該情況下如何處理;
——檢查系統組件支持方案、資產清單、批準記錄等相關文檔,查看其是否當系統組件不被支持但又需使用時,有正當理由并經過云服務商領導層的批準。
推薦文章: