GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.5 崗位風險與職責
13.5.1 一般要求
13.5.1.1 評估內容
詳見GB/T31168-2014中13.5.1的a)、b)、c)、d)和e)。
13.5.1.2 評估方法
13.5.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否標識出了所有崗位的風險。
13.5.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否為每個崗位建立了上崗人員篩選準則,如對應聘人員進行背景調查,調查應符合業務需求、所訪問的信息類別及已知風險。
13.5.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了評審和更新各崗位風險標識的頻率;
——檢查崗位風險標識評審和更新記錄,查看評審和更新頻率是否滿足要求。
13.5.1.2.4 對d)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有須明確所有崗位的信息安全職責的要求,是否有與客戶共同確定涉及云計算服務的安全職責的要求;
——檢查崗位信息安全職責的相關文檔,查看其是否明確了所有崗位的信息安全職責;是否與客戶共同確定了涉及云計算服務的安全職責;
——訪談系統安全負責人或客戶等相關人員,詢問其所有崗位的信息安全職責的情況。
13.5.1.2.5 對e)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了需進行分離的關鍵職責;
——檢查崗位設置和崗位信息安全職責的相關文檔,查看其是否滿足關鍵職責分離要求;
——檢查職責分離執行情況記錄,查看是否將職責分離情況記錄在案;
——訪談系統管理員、賬號管理員或安全管理員等相關人員,詢問職責分離通過訪問控制措施進行落實的情況。
13.5.2 增強要求
無。
推薦文章: