7.25　介質訪問和使用

7.25.1　一般要求

7.25.1.1　評估內容

詳見GB/T31168－2014中7.25.1的a）、b）和c）。

7.25.1.2　評估方法

7.25.1.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否定義了可供所定義的人員或角色訪問的數字或非數字介質；

——訪談所定義的人員或角色，詢問其數字或非數字介質使用情況。

7.25.1.2.2 對b）的評估方法為：

——檢查訪問控制策略與規程等相關文檔檔，查看其是否在報廢、超出云服務商控制之外使用或回收再利用前，使用所定義的介質凈化技術和規程，對所定義的介質進行凈化；

——檢查介質凈化技術和規程，查看凈化機制的強度、覆蓋范圍是否與其中信息類別或敏感級別相匹配；

——訪談系統安全負責人等相關人員，詢問其介質凈化情況。

7.25.1.2.3 對c）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看在所定義的系統或組件中是否限制或禁止使用云服務商定義的介質；

——訪談系統安全負責人等相關人員，詢問其介質訪問和使用情況，查看其是否滿足云服務商的要求。

7.25.2　增強要求

7.25.2.1　評估內容

詳見GB/T31168－2014中7.25.2的a）、b）、c）、d）和e）。

7.25.2.2　評估方法

7.25.2.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有采用自動機制限制對各類介質的訪問，并對介質訪問情況進行審計的要求；

——訪談系統安全負責人等相關人員，詢問其使用自動機制限制對介質的訪問以及對介質訪問情況進行審計的情況；

——檢查自動機制，檢查對介質訪問情況的審計記錄，查看自動機制是否可以限制對各類介質的訪問。

7.25.2.2.2 對b）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有對各類介質進行標記的要求；

——訪談系統安全負責人等相關人員，詢問其對介質進行標記的情況；

——檢查介質標記信息，查看其是否包含信息的分發限制、處理注意事項以及其他有關安全標記（如敏感級）等信息。

7.25.2.2.3 對c）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有在受控區域中采取相關物理控制措施對介質進行持續性保護的要求；

——訪談系統安全負責人等相關人員，詢問其在受控區域中采取相關物理控制措施對介質進行持續性保護的情況；

——檢查物理控制措施，查看其是否可以對介質提供持續性保護。

7.25.2.2.4 對d）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有在受控區域之外傳遞數字介質采取相關密碼機制的要求；

——訪談系統安全負責人等相關人員，詢問其在受控區域之外傳遞數字介質采取相關密碼機制的情況；

——檢查密碼機制，查看其是否可以保護介質信息的保密性和完整性。

7.25.2.2.5 對e）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有確保各類介質在受控區域之外的傳遞過程得到記錄的要求；

——訪談系統安全負責人等相關人員，詢問各類介質在受控區域之外傳遞時的記錄情況；

——檢查介質在受控區域之外傳遞時的記錄，查看其是否可以確保各類介質在受控區域之外的傳遞過程都得到記錄。