GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法13.10 第三方人員安全
13.10.1 一般要求
13.10.1.1 評估內容
詳見GB/T31168-2014中13.10.1的a)、b)、c)和d)。
13.10.1.2 評估方法
13.10.1.2.1 對a)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有為第三方供應商建立人員安全要求的規定;
——訪談系統安全負責人或負責采購業務的人員等相關人員,詢問其為第三方供應商建立人員安全要求的情況;
——檢查合同、協議等相關文檔,查看其是否建立人員安全要求,是否包括了安全角色和責任。
13.10.1.2.2 對b)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否有第三方供應商遵守本組織的人員安全策略與規程的要求;
——訪談系統安全負責人或負責采購業務的人員等相關人員,詢問其要求第三方供應商遵守本組織的人員安全策略與規程的情況;
——檢查合同、協議等相關文檔,查看其是否有相關要求。
13.10.1.2.3 對c)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否定義了將擁有本組織證件或系統訪問權限的第三方人員的任何調動或離職情況通知所定義的人員或角色的期限;
——訪談系統安全負責人或負責采購業務的人員等相關人員,詢問其第三方供應商人員調動或離職情況通知的情況;
——檢查云服務商收到的第三方供應商人員調動或離職情況通知文檔,查看其是否按照要求通知;
——訪談組織指定的人員或角色,詢問其接收第三方供應商發布的人員調動或離職通知的情況。
13.10.1.2.4 對d)的評估方法為:
——檢查安全組織與人員策略與規程等相關文檔,查看其是否要求監視第三方供應商的合規情況;
——訪談系統安全負責人或負責采購業務的人員等相關人員,詢問其監視第三方供應商合規的情況;
——檢查監視記錄等相關文檔,查看是否對第三方供應商的合規情況進行了監視。
13.10.2 增強要求
無。
推薦文章: