GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.6 人員篩選
13.6.1 一般要求
13.6.1.1 評估內容
詳見GB/T31168-2014中13.6.1的a)、b)和c)。
13.6.1.2 評估方法
13.6.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有篩選授權訪問信息系統的人員,且人員背景信息和篩選結果應可供客戶查閱的要求;
——檢查人員背景篩選記錄,查看其是否對授權訪問信息系統的人員進行了背景調查;
——訪談系統安全負責人或人事管理相關人員,詢問人員篩選的情況及為客戶提供人員背景信息和篩選結果的情況;
——檢查合同或客戶查閱記錄等相關文檔,查看云服務商是否可為客戶提供人員背景信息和篩選結果。
13.6.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了審查訪問人員再篩選的條件和頻率;
——檢查對授權訪問人員進行再篩選的記錄,查看其是否按所定義的條件和頻率實施再篩選;
——訪談系統安全負責人或人事管理相關人員,詢問人員再篩選的情況。
13.6.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有與授權訪問信息系統的人員簽訂保密協議的要求;
——檢查保密協議,查看其是否與授權訪問信息系統的人員簽訂了保密協議;
——訪談授權訪問信息系統的人員或系統安全負責人等相關人員,詢問簽訂保密協議的情況。
13.6.2 增強要求
無。
推薦文章: