10.1　策略與規程

10.1.1　一般要求

10.1.1.1　評估內容

詳見GB/T31168－2014中10.1.1的a）和b）。

10.1.1.2　評估方法

10.1.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了所分發的人員和角色；

——訪談云服務商定義的人員或角色，詢問其是否收到過相應的策略與規程；

1）檢查事件處理策略、災備與應急響應策略（包括備份策略），查看其是否涉及：目的、范圍、角色、責任、管理層承諾、內部協調、合規性等內容；

2）檢查應急響應與災備相關規程，查看其是否有推動應急響應與災備策略及有關安全措施的實施的內容。

10.1.1.2.2 對b）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了審查和更新頻率；

——檢查審查和更新記錄，查看其是否按照定義的頻率進行審查和更新。

10.1.2　增強要求

無。