GB/T 34942—2017 信息安全技術 云計算服務安全能力評估方法14.3 物理和環境規劃
14.3.1 一般要求
14.3.1.1 評估內容
詳見GB/T31168-2014中14.3.1的a)、b)和c)。
14.3.1.2 評估方法
14.3.1.2.1 對a)的評估方法為:
——檢查物理與環境安全策略與規程等相關文檔,查看其是否有在進行計算機機房設計時,滿足GB 50174-2008相關規定的要求;
——訪談系統安全負責人或物理安全負責人等相關人員,詢問其計算機機房設計情況;
——檢查系統設計說明書、機房環境等相關文檔,查看機房的設計是否滿足《電子信息系統機房設計規范》的相關規定。
14.3.1.2.2 對b)的評估方法為:
——檢查物理與環境安全策略與規程等相關文檔,查看其是否定義了物理和環境威脅;
——檢查系統設計說明書、機房環境等相關文檔,查看其是否合理劃分機房物理區域,合理布置信息系統的組件;
——訪談系統安全負責人或物理安全負責人等相關人員,詢問其劃分機房物理區域、布置信息系統組件的情況。
14.3.1.2.3 對c)的評估方法為:
——檢查物理與環境安全策略與規程、系統設計說明書等相關文檔,查看其是否提供了足夠的物理空間、電源容量、網絡容量、制冷容量;
——訪談系統安全負責人或物理安全負責人等相關人員,詢問其物理空間、電源容量、網絡容量、制冷容量等基礎設施情況。
14.3.2 增強要求
14.3.2.1 評估內容
詳見GB/T31168-2014的14.3.2。
14.3.2.2 評估方法
——檢查物理與環境安全策略與規程、系統設計說明書等相關文檔,查看其是否有將云計算平臺集中部署在隔離的物理區域,與服務于其他客戶的平臺和系統區分開的內容;
——訪談系統安全負責人或物理安全負責人等相關人員,詢問其為客戶提供服務的計算設施的部署情況;
——檢查機房環境,查看是否按要求部署。
推薦文章: