GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.2 安全組織
13.2.1 一般要求
13.2.1.1 評估內容
詳見GB/T31168-2014中13.2.1的a)、b)和c)。
13.2.1.2 評估方法
13.2.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有建立信息安全管理框架的內容:
1)查看其是否定義了人員或角色作為信息安全的第一負責人。
2)查看其是否設立了云服務商定義的部門作為信息安全的責任部門,并定義了機制與本組織其他業務部門協調。
——訪談所定義的人員或角色,詢問其作為信息安全的第一負責人的實施情況,是否為本組織最高管理層人員;
——訪談所定義的部門人員,詢問其所在部門作為信息安全的責任部門的實施情況,是否通過云服務商定義的機制與本組織其他業務部門協調。
13.2.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了機制以及與之保持適當聯系的外部組織;
——訪談人事管理相關人員等人員,詢問與外部組織保持適當聯系的情況。
13.2.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有實施內部威脅防范程序的內容;
——檢查內部威脅防范程序的相關文檔,查看其是否包括了跨部門的內部威脅事件處理團隊;
——訪談人事管理相關人員等人員,詢問內部威脅防范工作程序的落實情況。
13.2.2 增強要求
無。
推薦文章: