7.21　外部信息系統的使用

7.21.1　一般要求

7.21.1.1　評估內容

詳見GB/T31168－2014中7.21.1的a）和b）。

7.21.1.2　評估方法

7.21.1.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有明確列出何種情況下允許授權人員通過外部信息系統，對云計算平臺進行訪問的要求；

——訪談系統安全負責人，詢問其允許授權人員通過外部信息系統，對云計算平臺進行訪問的情況；

——檢查外部信息系統使用的要求，查看其是否明確列出允許授權人員通過外部信息系統，對云計算平臺進行訪問的限制條件。

7.21.1.2.2 對b）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有明確列出何種情況下允許授權人員利用外部信息系統，對云計算平臺上的信息進行處理、存儲或傳輸的要求；

——訪談系統安全負責人等相關人員，詢問其允許授權人員利用外部信息系統，對云計算平臺上的信息進行處理、存儲或傳輸的情況；

——檢查外部信息系統使用的要求，查看其是否明確列出允許授權人員利用外部信息系統，對云計算平臺上的信息進行處理、存儲或傳輸的限制條件。

7.21.2　增強要求

7.21.2.1　評估內容

詳見GB/T31168－2014中7.21.2的a）和b）。

7.21.2.2　評估方法

7.21.2.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔：

1）檢查信息安全策略和安全計劃，檢查獨立第三方評估機構的測試報告，查看外部信息系統是否正確實現了信息安全策略和安全計劃所要求的安全措施；

2）查看云服務商是否與外部系統所在實體簽訂了系統連接或處理協議，檢查協議內容，查看其是否經過第三方評估機構的評價。

——訪談系統安全負責人等相關人員，詢問其外部信息系統的使用情況。

7.21.2.2.2 對b）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有限制或禁止授權人員在外部信息系統上使用由云服務商控制的移動存儲介質的規定

——訪談系統安全負責人等相關人員，詢問其外部信息系統上移動存儲介質的使用情況。