GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.7 人員離職
13.7.1 一般要求
13.7.1.1 評估內容
詳見GB/T31168-2014中13.7.1的a)、b)、從)、d)、e)和f)。
13.7.1.2 評估方法
13.7.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了禁止離職人員對信息系統訪問的期限;
——檢查訪問授權變更記錄,查看其是否在規定期限內取消了離職人員對系統的訪問權限。
13.7.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有終止或撤銷與該人員相關的任何身份鑒別物或憑證的要求;
——檢查人員離職記錄等相關文檔,查看其是否終止或撤銷了與該人員相關的任何身份鑒別物或憑證。
13.7.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了與離職人員面談需商討的信息安全事宜;
——檢查與離職人員的面談記錄、離職記錄等相關文檔,查看其是否商討了云服務商定義的信息安全事宜。
13.7.1.2.4 對d)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有收回該人員所有涉及安全的本組織信息系統相關資產的要求;
——檢查人員離職記錄等相關文檔,查看其是否收回了離職人員所有涉及安全的本組織信息系統相關資產。
13.7.1.2.5 對e)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有確保之前由該人員控制的信息和信息系統仍然可用的要求;
——檢查人員離職記錄等相關文檔,查看其是否有之前由該人員控制的信息和信息系統能夠正常運行的相關人員確認簽字。
13.7.1.2.6 對f)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了將員工離職信息通知到的人員和角色,是否定義了通知的期限;
——檢查通知到所定義的人員或角色的記錄,查看其是否在規定期限內通知相關人員;
——訪談所定義的人員或角色,詢問其接收員工離職信息的情況。
13.7.2 增強要求
無。
推薦文章: