GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.9 訪問協議
13.9.1 一般要求
13.9.1.1 評估內容
詳見GB/T31168-2014中13.9.1的a)、b)和c)。
13.9.1.2 評估方法
13.9.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有制定云計算平臺訪問協議的要求;
——檢查訪問協議等相關文檔,查看其是否按要求制定。
13.9.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了評審和更新該訪問協議的頻率;
——檢查訪問協議評審和更新記錄,查看其是否按照頻率評審和更新該訪問協議。
13.9.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有確保云計算平臺的訪問人員滿足以下要求的內容:
1)在被授予訪問權之前,簽署合適的訪問協議。
2)根據工作需要或所定義的頻率,重新簽署訪問協議。——檢查訪問協議簽署記錄,查看其是否按要求重新簽署了訪問協議;
——訪談系統安全負責人或云計算平臺的訪問人員等相關人員,例如維護人員,詢問其簽署和重新簽署訪問協議的情況。
13.9.2 增強要求
無。
推薦文章: