GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法9.8 安全功能驗證
9.8.1 一般要求
9.8.1.1 評估內容
詳見GB/T31168-2014中9.8.1的a)、b)、c)和d)。
9.8.1..2 評估方法
9.8.1.2.1 對a)的評估方法為:
——檢查維護策略與規程等相關文檔,查看其是否定義了安全功能,是否有對安全功能驗證的要求;
——訪談安全管理員等相關人員,詢問其安全功能驗證的情況;
——測試云服務商定義的安全功能,驗證其是否正常運行。
9.8.1.2.2 對b)的評估方法為:
——檢查維護策略與規程等相關文檔,查看其是否定義了系統轉換狀態或者對安全功能實施驗證的頻率;
——檢查安全功能驗證記錄,查看是否當系統狀態轉換時或者按照定義的頻率對安全功能實施驗證。
9.8.1.2.3 對c)的評估方法為:
——檢查維護策略與規程等相關文檔,查看其是否定義了當安全功能驗證失敗時應通知的人員或角色,當安全功能驗證失敗時,是否有相應的通知機制;
——訪談所定義的人員或角色,詢問其當安全功能驗證失敗時通知的接收情況。
9.8.1.2.4 對d)的評估方法為:
——檢查維護策略與規程等相關文檔,查看其是否有當發生異常情況時關閉或重啟信息系統的處理機制,或者是否定義了所采取的行為;
——訪談安全管理員等相關人員,詢問其是否發生過異常情況以及處理異常情況的流程;
——檢查異常情況處理記錄,查看其是否符合處理機制的要求。
9.8.2 增強要求
無。
推薦文章: