<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法
    展開或關閉
    前言
    前言
    引言
    引??言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 概述
    4.1 評估原則 4.2 評估內容 4.3 評估證據 4.4 評估實施過程
    5 系統開發與供應鏈安全評估方法
    5.1 策略與規程 5.2 資源分配 5.3 系統生命周期 5.4 采購過程 5.5 系統文檔 5.6 安全工程原則 5.7 關鍵性分析 5.8 外部信息系統服務及相關服務 5.9 開發商安全體系架構 5.10 開發過程、標準和工具 5.11 開發商配置管理 5.12 開發商安全測試和評估 5.13 開發商提供的培訓 5.15 組件真實性 5.16 不被支持的系統組件 5.17 供應鏈保護
    6 系統與通信保護評估方法
    6.1 策略與規程 6.2 邊界保護 6.3 傳輸保密性和完整性 6.4 網絡中斷 6.6 密碼使用和管理 6.7 協同計算設備 6.8 移動代碼 6.9 會話認證 6.10 移動設備的物理連接 6.11 惡意代碼防護 6.12 內存防護 6.13 系統虛擬化安全性 6.14 網絡虛擬化安全性 6.15 存儲虛擬化安全性
    7 訪問控制評估方法
    7.1 策略與規程 7.3 設備標識與鑒別 7.4 標識符管理 7.5 鑒別憑證管理 7.6 鑒別憑證反饋 7.7 密碼模塊鑒別 7.8 賬號管理 7.9 訪問控制的實施 7.10 信息流控制 7.11 最小特權 7.12 未成功的登錄嘗試 7.15 并發會話控制 7.16 會話鎖定 7.17 未進行標識和鑒別情況下可采取的行動 7.18 安全屬性 7.19 遠程訪問 7.20 無線訪問 7.21 外部信息系統的使用 7.22 信息共享 7.23 可供公眾訪問的內容 7.24 數據挖掘保護 7.25 介質訪問和使用 7.26 服務關閉和數據遷移
    8 配置管理評估方法
    8.1 策略與規程 8.2 配置管理計劃 8.3 基線配置 8.4 變更控制 8.5 配置參數的設置 8.6 最小功能原則 8.7 信息系統組件清單
    9 維護評估方法
    9.1 策略與規程 9.2 受控維護 9.3 維護工具 9.4 遠程維護 9.6 及時維護 9.7 缺陷修復 9.8 安全功能驗證 9.9 軟件、固件、信息完整性
    10 應急響應與災備評估方法
    10.1 策略與規程 10.2 事件處理計劃 10.3 事件處理 10.4 事件報告 10.5 事件處理支持 10.6 安全警報 10.7 錯誤處理 10.8 應急響應計劃 10.9 應急培訓 10.10 應急演練 10.11 信息系統備份 10.12 支撐客戶的業務連續性計劃 10.13 電信服務
    11 審計評估方法
    11.1 策略與規程 11.2 可審計事件 11.3 審計記錄內容 11.4 審計記錄存儲容量 11.5 審計過程失敗時的響應 11.6 審計的審查、分析和報告 11.7 審計處理和報告生成 11.8 時間戳 11.9 審計信息保護 11.10 不可否認性 11.11 審計記錄留存
    12 風險評估與持續監控評估方法
    12.1 策略與規程 12.2 風險評估 12.3 脆弱性掃描 12.4 持續監控 12.5 信息系統監測 12.6 垃圾信息監測
    13 安全組織與人員評估方法
    13.1 策略與規程 13.2 安全組織 13.3 安全資源 13.4 安全規章制度 13.5 崗位風險與職責 13.6 人員篩選 13.7 人員離職 13.8 人員調動 13.9 訪問協議 13.10 第三方人員安全 13.11 人員處罰 13.12 安全培訓
    14 物理與環境安全評估方法
    14.1 策略與規程 14.2 物理設施與設備選址 14.3 物理和環境規劃 14.4 物理環境訪問授權 14.5 物理環境訪問控制 14.6 通信能力防護 14.7 輸出設備訪問控制 14.8 物理訪問監控 14.9 訪客訪問記錄 14.10 電力設備和電纜安全保障 14.11 應急照明能力 14.12 消防能力 14.13 溫濕度控制能力 14.14 防水能力 14.15 設備運送和移除
    參考文獻
    參考文獻

    8.4 變更控制

    GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法 /

    8.4.1 一般要求

    8.4.1.1 評估內容

    詳見GB/T31168-2014中8.4.1的a)、b)、c)、d)、e)、f)、g)和h)。

    8.4.1.2 評估方法

    8.4.1.2.1 對a)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否明確了在系統受控配置列表中應包含的云計算平臺的變更配置項;

    ——檢查系統受控配置列表,查看其是否包含了所明確的配置項。

    8.4.1.2.2 對b)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否明確了需定期變更的受控配置列表,是否定義了病毒庫、入侵檢測規則庫、防火墻規則庫、漏洞庫等與信息安全相關的重要配置項的更新頻率;

    ——檢查與信息安全相關的重要配置項的更新記錄,查看其是否按照定義的頻率進行更新;

    ——訪談維護人員或配置管理人員等相關人員,詢問其是否明確了需定期變更的受控配置列表,是否按照定義的頻率,對與信息安全相關的重要配置項進行更新。

    8.4.1.2.3 對c)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否規定在云計算平臺上實施變更之前,對信息系統的變更項進行分析,以判斷該變更事項對云計算安全帶來的潛在影響;

    ——檢查變更控制記錄、變更審計總結報告等相關文檔,查看其是否在云計算平臺上實施變更之前,對信息系統的變更項進行分析,是否對該變更事項對云計算安全帶來的潛在影響進行了判斷。

    8.4.1.2.4 對d)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否要求審查所提交的信息系統受控配置的變更事項,并根據安全影響分析結果進行批準或否決;

    ——檢查變更事項審查記錄等相關文檔,查看其是否按照要求對所提交的信息系統受控配置變更事項進行審查,并根據安全影響分析結果進行批準或否決。

    8.4.1.2.5 對e)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否要求保留信息系統中受控配置的變更記錄;

    ——檢查變更控制記錄,查看其是否按照要求保留信息系統中受控配置的變更信息。

    8.4.1.2.6 對f)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否定義了對涉及系統受控配置變更的有關活動進行審查的頻率;

    ——檢查審查記錄,查看其是否按照云服務商定義的頻率進行審查。

    8.4.1.2.7 對g)的評估方法為:

    ——檢查配置管理策略、配置管理策略與規程等相關文檔,查看其是否明確了受控配置變更的管理部門,是否定義了該部門的職責,如負責協調和監管與受控配置變更有關的活動等。

    8.4.1.2.8 對h)的評估方法為:

    ——檢查配置管理策略與規程等相關文檔,查看其是否規定應根據客戶的要求,確定應報告的配置變更事項;

    ——檢查向客戶提供的變更事項,查看其是否符合客戶要求;

    ——檢查配置管理策略與規程等相關文檔,查看其是否要求在實施變更之前,向客戶提供下列變更信息:

    1)變更計劃發生的日期和時間。

2)系統變更的詳細信息。

3)變更的安全影響分析結論。

    ——檢查向客戶提供變更信息的記錄,查看其是否包含上述內容;

    ——訪談客戶,詢問其是否接收到云服務商提供的變更信息。

    8.4.2 增強要求

    8.4.2.1 評估內容

    詳見GB/T31168-2014中8.4.2的a)、b)、c)和d)。

    8.4.2.2 評估方法

    8.4.2.2.1 對a)的評估方法為:

    ——檢查配置管理策略與規程、配置管理計劃等相關文檔,查看其是否有在云計算平臺上實施變更之前,對受控配置變更項進行測試、驗證和記錄的要求;

    ——訪談配置管理人員或維護人員等相關人員,詢問其對受控配置變更項進行測試、驗證和記錄的方法和實現情況;

    ——檢查測試驗證記錄等相關文檔,查看是否按照要求對受控配置變更項進行測試、驗證和記錄。

    8.4.2.2.2 對b)的評估方法為:

    ——檢查配置變更控制程序、配置管理計劃等相關文檔,查看其是否有對云計算平臺上的變更實施物理和邏輯訪問控制的機制,并對變更動作進行審計;

    ——檢查變更控制記錄、變更審計總結報告等相關文檔,查看其是否對云計算平臺上的變更進行物理和邏輯訪問控制,并查看變更動作的審計記錄;

    ——訪談配置管理人員或維護人員等相關人員,詢問其對云計算平臺上的變更實施物理和邏輯訪問控制的措施,是否對變更動作進行審計。

    8.4.2.2.3 對c)的評估方法為:

    ——檢查配置變更控制程序等相關文檔,查看其是否有限制信息系統開發方和集成方對生產環境中的信息系統及其硬件、軟件和固件進行直接變更的要求;

    ——訪談配置管理人員或維護人員等相關人員,詢問其限制信息系統開發方和集成方對生產環境中的信息系統及其硬件、軟件和固件進行直接變更的措施。

    8.4.2.2.4 對d)的評估方法為:

    ——檢查配置變更控制程序等相關文檔,查看其是否定義了對信息系統開發方和集成方掌握的變更權限進行審查和再評估的頻率;

    ——檢查審查和再評估記錄等相關文檔,查看其是否按照云服務商定義的頻率對信息系統開發和集成方掌握的變更權限進行審查和再評估;

    ——訪談配置管理人員等相關人員,詢問其是否按照云服務商定義的頻率對信息系統開發和集成方掌握的變更權限進行審查和再評估。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Andrew
    1.9k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类