GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法7.1 策略與規程
7.1.1 一般要求
7.1.1.1 評估內容
詳見GB/T31168-2014中7.1.1的a)和b)。
7.1.1.2 評估方法
7.1.1.2.1 對a)的評估方法為:
——檢查標識與鑒別策略、訪問控制策略與規程等相關文檔,查看其是否定義了所分發的人員或角色;
——訪談云服務商定義的人員或角色,詢問其是否收到過相關策略與規程;
1)檢查標識與鑒別策略、訪問控制策略(包括信息流控制策略、遠程訪問策略等),查看其是否涉及目的、范圍、角色、責任、管理層承諾、內部協調、合規性等內容;
2)檢查標識與鑒別策略、訪問控制策略相關規程,查看其是否有以推動標識與鑒別策略、訪問控制策略及有關安全措施實施的內容。
7.1.1.2.2 對b)的評估方法為:
——檢查標識與鑒別策略、訪問控制策略等相關文檔,查看其是否定義了審查和更新頻率;
——檢查審查和更新記錄,查看其是否按照云服務商定義的頻率進行了審查和更新。
7.1.2 增強要求
無。
推薦文章: