GB/T34942-2017
信息安全技术云计算服务安全能力评估方法
Informationsecuritytechnology—Theassessmentmethodforsecuritycapabilityofcloudcomputingservice
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2018-05-01
- 文件格式PDF
- 文本页数126页
- 文件大小8.48M
以图片形式预览信息安全技术云计算服务安全能力评估方法
信息安全技术云计算服务安全能力评估方法
国家标准 GB/T34942一2017 信息安全技术 云计算服务安全能力评估方法 Informationseeuritytechnology一Theassessmentmethodfor ecuritycapabiltyfelodomputimgsermiee 2017-11-01发布 2018-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/34942一2017 目 次 前言 引言 范围 规范性引用文件 2 术语和定义 概述 4.1评估原则 4.2评估内容 4.3评估证据 4.4评估实施过程 系统开发与供应链安全评估方法 5.1策略与规程 5.2资源分配 5.3系统生命周期 采购过程 5." 5.5 系统文档 5.6安全工程原则 5.7 关键性分析 5.8外部信息系统服务及相关服务 12 5.9开发商安全体系架构 13 5.10开发过程、标准和工具 5.11开发商配置管理 15 17 5.12开发商安全测试和评估 19 5.13开发商提供的培训 5.14防篡改 20 5.15组件真实性 20 5.16不被支持的系统组件 21 22 5.17供应链保护 系统与通信保护评估方法 25 6.1策略与规程 25 6.2边界保护 26 6.3传输保密性和完整性 28 29 6.4网络中断 29 6.5可信路径 30 6.6密码使用和管理 30 6.7协同计算设备 30 6.8移动代码
GB/T34942一2017 6.9 31 会话认证 6.10移动设备的物理连接 332 6.11恶意代码防护 332 6.12内存防护 34 6.13系统虚拟化安全性 34 6.14网络虚拟化安全性 37 6.15存储虚拟化安全性 37 访问控制评估方法 39 7.1策略与规程 39 40 7.2用户标识与鉴别 41 7.3设备标识与鉴别 41 7.4标识符管理 75 42 鉴别凭证管理 7.6 44 鉴别凭证反馈 77 密码模块鉴别 44 45 账号管理 7.8 7.9访问控制的实施 46 7.10信息流控制 47 .11最小特权 48 49 .12未成功的登录尝试 7.13系统使用通知 50 50 .14前次访问通知 51 .15并发会话控制 .16会话锁定 1 .17未进行标识相鉴别悄况下可采取的行动 .18安全属性 7.19远程访问 54 7.20无线访问 7.21外部信息系统的使用 5 7.22信息共享 7.23可供公众访问的内容 56 7.24数据挖掘保护 50 s7 7.25介质访问和使用 7.26服务关闭和数据迁秘 58 配置管理评估方法 59 8.1策略与规程 59 58 8.2配置管理计划 60 8.3基线配置 61 8.4变更控制 63 8.5配置参数的设置 64 8.6最小功能原则 65 8.7信息系统组件清单
GB/34942一2017 9 67 维护评估方法 9.1策略与规程 67 67 9.2受控维护 9.3维护工具 68 9.4远程维护 69 9.5维护人员 70 9.6及时维护 771 9.7缺陷修复 771 9.8安全功能验证 7"2 9.9软件、固件、信息完整性 73 10应急响应与灾备评估方法 74 0.1策略与规程 74 10.2事件处理计划 74 10.3事件处理 75 76 0.4事件报告 10.5事件处理支持 77 78 0.6安全警报 10.7错误处理 78 10.8应急响应计划 79 10.9应急培训 81 10.10应急演练 81 10.11信息系统备份 82 10.12支撑客户的业务连续性计划 84 84 10.13电信服务 1 审计评估方法 85 11.1策略与规程 885 86 1.2可审计事件 1.3审计记录内容 86 n 审计记录存储容量 87 1.5审计过程失败时的响应 87 m. 审计的审查、分析和报告 88 M. 审计处理和报告生成 89 H8 时间戳 90 1l.9审计信息保护 90 1.10不可否认性 91 1.1l1审计记录留存 92 92 12风险评估与持续监控评估方法 92 12.1策略与规程 93 12.2风险评估 93 12.3脆弱性扫描 95 12.4持续监控 96 12.5信息系统监测
GB/T34942一2017 98 12.6垃圾信息监测 13 安全组织与人员评估方法 98 13.1策略与规程 98 13.2安全组织 99 13.3安全资源 100 3.4安全规章制度 100 o1 3.5岗位风险与职责 10m 3.6人员筛选 02 13.7人员离职 0s 13.8人员调动 10 13.9访问协议 1n 13.10第三方人员安全 05 - 3.ll人员处罚 06 13.12安全培训 107 14 物理与环境安全评估方法 14.1策略与规程 07 07 物理设施与设备选址 14,2 108 物理和环境规划 14.3 14.4物理环境访问授权 109 14.5物理环境访问控制 110 12 14.6通信能力防护 正2 14.7输出设备访问控制 H5 14.8物理访问监控 I 14.9访客访问记录 m 14.10电力设备和电缆安全保障 正 14.11应急照明能力 16 14.12消防能力 In 14.13温湿度控制能力 18 14.14防水能力 14.15设备运送和移除 118 参考文献 119 IN
GB/34942一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位:电子技术标准化研究院、国家信息技术安全研究中心、信息安全测评中 心、电子科技集团第30研究所、信息安全研究院有限公司、上海市信息安全测评认证中心、中 国信息安全认证中心,中电长城网际系统应用有限公司,四川大学,华东师范大学、国家信息中心,神州 网信技术有限公司浪潮(北京)电子信息有限公司、华为技术有限公司、阿里云计算有限公司、深圳赛西 信息技术有限公司、北京工业大学、中标软件有限公司、西安未来国际信息股份有限公司、中金数据系统 有限公司、北京软件产品质量检测检验中心,重庆邮电大学、成都信息工程大学,北京邮电大学、西安电 子科技大学、桂林电子科技大学、,河南科技大学、北京航空航天大学、传媒大学
本标准主要起草人;高林、王惠莅、李京春、何延哲、任望,梁露露、刘贤刚范科峰、上官晓丽、杨晨 都嬉、张玲、王强,徐御、周民,徐云、陈晓桦、吴迪、闵京华、马文平,何道敬,赵丹丹、刘俊河,梁满、刘虹. 赵江,黄敏.陈雪秀、徐宁、崔玲、万国根、陈晓峰杨力、裴庆棋、唐一鸿、蔡磊、叶润国,伍前红,黄永洪 杨震、李刚陈小松、王勇、张志勇、毛剑、姜正涛
GB/T34942一2017 引 言 GB/T31168一2014《信息安全技术云计算服务安全能力要求》对云服务商提出了基本安全能力 要求,反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力
GB/T311682014将云计算服务安全能力要求分为一般要求和增强要求,增强要求是对一般要求的 补充和强化
在实现增强要求时,一般要求应首先得到满足
有的安全要求只列出了增强要求,一般要 求标为“无”
这表明具有一般安全能力的云服务商可以不实现此项安全要求
在具体的应用场景下 云服务商也可采用删减、补充、替代等多种方式对安全要求进行调整
本标准是GB/T31168一2014的配套标准,对应于GB/T31168一2014的第5章一第14章规定的 要求,本标准也从第5章一第14章给出了相应的评估方法
本标准主要为第三方评估机构开展云计算 服务安全能力评估提供指导
第三方评估机构可采用访谈、检查、测试等多种方式,制定相应安全评估 方案,并实施安全评估
订
GB/34942一2017 信息安全技术 云计算服务安全能力评估方法 范围 本标准规定了依据GB/T31168一2014《信息安全技术云计算服务安全能力要求》,开展评估的 原则、实施过程以及针对各项具体安全要求进行评估的方法
本标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商 在对自身云计算服务安全能力进行自评估时也可参考
本标准适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使 用云计算服务时参考
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T250692010信息安全技术术语 GB/T31167一2014信息安全技术云计算服务安全指南 GB/T31168一2014信息安全技术云计算服务安全能力要求 术语和定义 GB/T250692010,GB/T31167一2014和GB/T31l682014界定的术语和定义适用于本文件
为了便于使用,以下重复列出了GB/T31167一2014中的术语和定义
3.1 云计算 eloudcommputing 通过网络访间可扩展的,灵活的物理或虚拟共享资源池,并可按需自助获取和管理资源的模式
注:资源实例包括服务器,操作系统、网络、软件、应用和存储设备等
[[GB/T31167一2014,定义3.1] 3.2 service 云计算服务eudmputin" 使用定义的接口,借助云计算提供一种或多种资源的能力
[GB/T31167一2014,定义3.27 3.3 云服务商cloudservieeprovider 云计算服务的供应方
注:云服务商管理,运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源 [GB/T31167一2014,定义3.3灯
GB/T34942一2017 3.4 云服务客户 cloudsericecustomer 为使用云计算服务同云服务商建立业务关系的参与方
注:本标准中云服务客户简称客户 [[GB/T31167一2014,定义3.4] 3.5 第三方评估机构 ThirdPartyAssessmentOrganization;3PAO 独立于云计算服务相关方的专业评估机构
[GB/T31167一2014,定义3.5] 3.6 云计算基础设施 eloudcomputinginfrastructure 由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施
注,硬件资源包括所有的物理计算资源,包括服务器(CPU,内存等).存储组件(硬盘等,网络组件路由器,防火 墙,交换机,网络链接和接口等)及其他物理计算基础元素
资源抽象控制组件对物理计算资源进行软件抽象
云服务商通过这些组件提供和管理对物理计算资源的访问
[GB/T31167一2014,定义3.6] 3.7 云计算平台 tnplatfor Orm cloudcomput 云服务商提供的云基础设施及其上的服务软件的集合
[GB/T31167一2014,定义3.7] 3.8 云计算环境 cloudcomputingenvironmenmt 云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合
[GB/T31167一2014,定义3.8] 3.9 外部信息系统 ExternalInformationSystem 云计算平台之外的信息系统
注外部信息系统的所有权.控制权一般不由云服务商掌握,其安全措施的使用或有效性不由云服务商直接控制 [GB/T31168一2014,定义3.9] 3.10 评估活动 assesSmentactivity 评估过程中的一组任务
3.11 评估方法 assesSmentmethod 评估过程中使用的一般描述的操作逻辑序列 3.12 评估人员 aSsesSmentperson 执行评估活动的个人
概述 4.1评估原则 第三方评估机构在评估时应遵循客观公正、可重用、可重复和可再现、灵活、最小影响及保密的
GB/34942一2017 原则
客观公正是指第三方评估机构在评估活动中应充分收集证据,对云计算服务安全措施的有效性和 云计算平台的安全性做出客观公正的判断
可重用是指在适用的情况下,第三方评估机构对云计算平台中使用的系统、组件或服务等采用或参 考其已有的评估结果
可重复和可再现是指在相同的环境下.不同的评估人员依照同样的要求,使用同样的方法,对每个 评估实施过程的重复执行都应得到同样的评估结果
灵活是指在云服务商进行安全措施裁剪、替换等情况下,第三方评估机构应根据具体情况制定评估 用例并进行评估
最小影响是指第三方评估机构在评估时尽量小地影响云服务商现有业务和系统的正常运行,最大 程度降低对云服务商的风险
保密原则是指第三方评估机构应对涉及云服务商利益的商业信息以及云服务客户信息等严格 保密
4.2评估内容 第三方评估机构依据国家相关规定和GB/T31168一2014,主要对系统开发与供应链安全、系统与 通信保护访问控制配置管理、维护,应急响应和灾备、审计、风险评估与持续监控、安全组织与人员、物 理与环境安全等安全措施实施情况进行评估
第三方评估机构在开展安全评估工作中宜综合采用访谈、检查和测试等基本评估方法,以核实云服 务商的云计算服务安全能力是否达到了一般安全能力或增强安全能力
访谈是指评估人员对云服务商等相关人员进行谈话的过程,对云计算服务安全措施实施情况进行 了解、分析和取得证据
访谈的对象为个人或团体,例如;信息安全的第一负责人、人事管理相关人员、 系统安全负责人,网络管理员、系统管理员、账号管理员,安全管理员、安全审计员、维护人员、系统开发 人员、物理安全负责人和用户等
检查是指评估人员通过对管理制度、安全策略和机制安全配置和设计文档,运行记录等进行观察、 查验、分析以帮助评估人员理解、分析和取得证据的过程
检查的对象为规范、机制和活动,例如;评审 信息安全策略规划和程序;分析系统的设计文档和接口规范;观测系统的备份操作;审查应急响应演练 结果;观察事件处理活动;研究设计说明书等技术手册和用户/管理员文档;查看、,研究或观察信息系统 的硬件/软件中信息技术机制的运行;查看、研究或观察信息系统运行相关的物理安全措施等
测试是指评估人员进行技术测试(包括渗透测试),通过人工或自动化安全测试工具获得相关信息 并进行分析以帮助评估人员获取证据的过程
测试的对象为机制和活动,例如:访问控制、身份鉴别和 验证、审计机制;测试安全配置设置,测试物理访问控制设备;进行信息系统的关键组成部分的渗透测 试,测试信息系统的备份操作;测试事件处理能力,应急响应演练能力等
4.3评估证据 评估证据是指对评估结果起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实 物等,其载体可以是任何能够保存的形式,包括但不限于纸质的,电子的等
证据是在评估活动的过程 中筛选或生成而来
所有评估活动产生的结果都应有相应的证据支持
证帮应得到妥善保管,以防止 篡改、泄密、损坏、丢失等有损证据的行为
4,4评估实施过程 评估实施过程主要包括:评估准备、方案编制、现场实施和分析评估四个阶段,与云服务商的沟通与
GB/T34942一2017 洽谈贯穿整个过程,评估实施过程见图1
在评估准备阶段,第三方评估机构应接收云服务商提交的《系统安全计划》,从内容完整性和准确性 等方面审核《系统安全计划》,审核通过后,第三方评估机构与云服务商沟通被测对象、拟提供的证据、评 估进度等相关信息,并组建评估实施团队 在方案编制阶段,第三方评估机构应确定评估对象、评估内容和评估方法,并根据需要选择、调整、 开发和优化测试用例,形成相应安全评估方案
此阶段根据具体情况,可能还需要进行现场调研,主要 目的是;确定评估边界和范围,了解云服务商的系统运行状况、安全机构、制度、人员等现状,以便制定安 全评估方案
在现场实施阶段,第三方评估机构主要依据《系统安全计划》等文档,针对系统开发与供应链保护 系统与通信保护,访问控制配置管理、维护,应急响应与灾备、审计、风险评估与持续监控、安全组织与 人员、物理与环境安全等方面的安全措施实施情况进行评估
该阶段主要由云服务商提供安全措施实 施的证据,第三方评估机构审核证据并根据需要进行测试
必要时,应要求云服务商补充相关证据,双 方对现场实施结果进行确认 在分析评估阶段,第三方评估机构应对现场实施阶段所形成的证据进行分析,首先给出对每项安全 要求的判定结果
在GB/T31l68一2014附录A中,云服务商安全要求实现情况包括满足、部分满 足,计划满足、替代满足、不满足和不适用
第三方评估机构在判定时,计划满足视为不满足,替代满足 视为满足
第三方评估机构在判定是否满足适用的安全要求时,如有测试和检查,原则上测试结果和检 查结果满足安全要求的视为满足,否则视为不满足或部分满足
若无测试有检查,原则上检查结果满足 安全要求的视为满足,否则视为不满足或部分满足
若无测试无检查,访谈结果满足安全要求的视为满 足,否则视为不满足或部分满足
然后,根据对每项安全要求的判定结果,参照相关国家标准进行风险 评估,最后综合各项评估结果形成安全评估报告,给出是否达到GB/T31168一2014相应能力要求的评 估结论
在云服务商通过安全评估后,并与客户签订合同提供服务时,第三方评估机构也可按照相关规定、 客户委托或其他情况积极参与和配合运行监管工作,具体实施应参照GB/T31167一2014及运行监管 相关规定
GB/34942一2017 接收并审核云计算服务系 练安全针奶 沟通被测对象、拟提供的证 评估准备 招、评估进度等总 组建评估实施团队 确定评估对象、评估内容和 评估方法 评估方案编制 形成测试用例 编制评估方案 沟 谈 审核证据 评估安全控制措施实施情况 现场实施 确认现场实施结果 分析证据,评估标准符合性 分析评价 风险分析 编制评估报告 图1评估实施过程 5 系统开发与供应链安全评估方法 5.1策略与规程 5.1.1一般要求 5.1.1.1评估内容 详见GB/T31168一2014中5.1.l的a)和b)
GB/T34942一2017 5.1.1.2评估方法 5.1.1.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了所分发的人员或角色; -访谈云服务商定义的人员或角色,询问其是否收到过相应的策略与规程 检查系统开发与供应链安全策略(包括采购策略等),查看其是否涉及:目的、范围、角色、 责任、管理层承诺、内部协调,合规性等内容 检查系统开发与供应链安全的相关规程,查看其是否有推动系统开发与供应链安全策略 及有关安全措施实施的内容 5.1.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了审查和更新频率, -检查审查和更新记录,查看其是否按照定义的频率进行审查和更新
5.1.2增强要求 无
5.2资源分配 5.2.1 般要求 5.2.1.1评估内容 详见GB/T31168一2014中5.2.1的a),b)和e)
5.2.1.2评估方法 5.2.1.2.1对a)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在规划系统建设时考虑系 统安全需求的要求; -检查系统规划阶段相关文档,查看其是否明确指出该系统的安全需求
5.2.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有确定并分配为保护信息系 统和服务所需的资源,并在预算管理过程中予以重点考虑的要求; -检查工作计划、预算管理过程文档,查看其是否有保护信息系统和服务所需资源(如有关资金、 场地、人力等)的内容; 访谈信息安全的第一负责人或系统安全负责人等相关人员,询问保护信息系统和服务所需资 源的落实情况
5.2.1.2.3对c)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在工作计划和预算文件中 将信息安全作为单列项予以考虑的要求; 检查工作计划和预算文件,查看其是否将信息安全作为单列项予以说明
GB/34942一2017 5.2.2增强要求 5.3系统生命周期 5.3.1一般要求 5.3.1.1评估内容 详见GB/T311682014中5.3.1的a)、b),c)和d)
5.3.1.2评估方法 5.3.1.2.1对a)的评估方法为: 一检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了系统生命周期,如规划 阶段、设计阶段、实施阶段,运维阶段、废止阶段等;是否将信息安全纳人所定义的系统生命 周期 检查云服务商定义的系统生命周期中的各阶段相关文档,查看其是否明确提出信息系统和服 务的安全需求,以确保信息安全措施同步规划、同步建设、同步运行 访谈信息安全的第一负责人或系统安全负责人等相关人员,询问信息安全措施的同步规划、同 步建设、同步运行的情况 5.3.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有确定整个信息系统生命周 期内的信息安全角色和责任的要求 检查信息系统生命周期各阶段的相关文档,查看其是否明确提出各阶段的信息安全角色和 责任
5.3.1.2.3对c)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有将信息安全角色明确至相 应责任人的要求; 检查信息系统生命周期各阶段相关文档,查看其是否将各阶段的信息安全角色明确至相应责 任人
5.3.1.2.4对d)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是香有将信息安全风险管理过程 集成到系统生命周期活动中的要求 检查信息系统生命周期各阶段相关文档,查看其是否有信息安全风险管理内容,查看其是否有 相应风险评估报告; 访谈信息安全的第一负责人或系统安全负责人等相关人员,询问其在系统生命周期的各阶段 中信息安全风险管理情况
5.3.2增强要求 无
GB/T34942一2017 5.4采购过程 5.4.1 一般要求 5.4.1.1评估内容 详见GB/T311682014的5.4.1
5.4.1.2评估方法 评估方法如下 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有根据相关法律、法规、政策 和标准的要求,以及可能的客户需求,并在风险评估的基础上,将GB/T311682014中5.4.1 的a),b),c),d),e)、f),g),h)的内容列人信息系统采购合同的要求 访谈系统安全负责人等相关人员,询问其是否收集和整理相关的法律、法规、政策和标准要求, 并形成合规文件清单; 访谈负责采购业务的相关人员,询问其在拟定信息系统采购合同之前,是否已充分考虑合规文 件清单、可能的客户需求,以及相关的风险评估结果; -检查采购合同,查看其是否包含所要求的内容
5.4.2增强要求 5.4.2.1评估内容 详见GB/T31168-2014中5.4.2的a)、b),c)、d),e)和
5.4.2.2评估方法 5.4.2.2.1 对a)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商对其使用的安 全措施进行功能描述的内容 访谈系统安全负责人等相关人员,询问其有哪些信息系统、组件或服务由开发商开发,是否形 成云计算平台信息系统、组件或服务开发清单; 检查云服务商收到的对安全措施进行功能描述的文档,查看开发商是否按要求进行了描述
5.4.2.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商提供所使用的 安全措施的设计和实现信息的内容,是否定义了设计和实现信息的详细程度; 检查云服务商收到的安全措施的设计和实现信息,查看其是否满足云服务商定义的详细程度
5.4.2.2.3对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了在系统生命周期中使 用的系统工程方法、软件开发方法、测试技术和质量控制过程 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商提供相关证据 的内容 检查云服务商收到的证据,查看该证据是否足以证明开发商在系统生命周期中使用了云服务 商定义的系统工程方法、软件开发方法、测试技术和质量控制过程
5.4.2.2.4对d)的评估方法为:
GB/34942一2017 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了开发商在交付信息系 统、组件或服务时应实现的安全配置,是否有将这些安全配置作为信息系统、组件或服务在重 新安装或升级时的缺省配置的要求 检查开发商在交付,重新安装或升级信息系统、组件或服务时使用的缺省安全配置文件和记录 等相关文档,查看其是否符合云服务商定义的安全配置
5.4.2.2.5对e)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了对开发商安全措施有 效性的持续监控计划的详细程度,是否要求开发商制定的持续监控计划满足该详细程度; 检查云服务商收到的持续监控计划.查看其是否满足云服务商定义的详细程度
5.4.2.2.6对f)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商在系统生命周 期的早期阶段说明系统中的功能、端口、协议和服务的内容 访谈系统安全负责人等相关人员,询问其是否对开发商说明的系统功能、端口、协议和服务进 行必要的风险评估,并基于该评估结果禁用不必要或高风险的功能、端口,协议或服务 检查禁用不必要或高风险的功能、端口、协议或服务的操作记录,查看其是否符合要求; 测试不必要的或高风险的功能、端口、协议或服务,验证其是否已被禁止使用
5.5系统文档 5.5.1 -般要求 5.5.1.1评估内容 详见GB/T311682014中5.5,.1的a),b),e)和d)
5.5.1.2评估方法 5.5.1.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商制定云计算平台 信息系统、组件或服务开发清单中的相应管理员文档 检查管理员文档,查看其是否涵盖以下信息 1)信息系统、组件或服务的安全配置,以及安装和运行说明 2安全特性或功能的使用和维护说明; 3)与管理功能有关的配置和使用方面的注意事项
5.5.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商制定云计算平台 信息系统、组件或服务开发清单中的相应用户文档; 检查用户文档,查看其是否涵盖以下信息 1)用户可使用的安全功能或机制以及对如何有效使用这些安全功能或机制的说明 2)有助于用户更安全地使用信息系统、组件或服务的方法或说明 3)对用户安全责任和注意事项的说明
5.5.1.2.3对e)的评估方法为: 访谈系统安全负责人等相关人员,询问其是否将开发商提供的管理员文档和用户文档作为重 要资产予以识别,并按照风险管理策略进行保护;
GB/T34942一2017 -检查风险管理相关文档,查看是否已识别和保护管理员文档和用户文档
5.5.1.2.4对d)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了文档分发的人员或 角色 -访谈系统安全负责人等相关人员,询问其开发商提供的管理员文档和用户文档的分发范围,验 证其是否明确到人员或角色 -访谈所定义的人员或角色,询问其是否已接收到相关文档 检查分发记录,查看其是否按照所定义的人员或角色分发文档
5.5.2增强要求 无
5.6安全工程原则 一般要求 5.6.1 5.6.1.1评估内容 详见GB/T31l68一2014的5.6.1
5.6.1.2评估方法 评估方法如下 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有应用安全工程原则的要求; 访谈系统安全负责人或系统开发人员等相关人员,询问其所使用的安全工程原则 检查信息系统的规划、设计、开发、实现和修改过程中的主要技术文档,例如:系统规划文档、系 统设计说明书,实施文档、培训记录、风险评估报告等相关文档,查看其是否按照实际情况应用 安全工程原则
5.6.2增强要求 无
5.7关键性分析 5.7.1 一般要求 无 5.7.2增强要求 5.7.2.1评估内容 详见GB/T311682014的5.7.2
5.7.2.2评估方法 评估方法如下 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了系统生命周期中的决 策点,是否定义了在该决策点进行关键性分析的信息系统、组件或服务,以确定关键信息系统 10
GB/34942一2017 组件和功能; 访谈系统安全负责人等相关人员,询问其进行关键性分析的情况; 检查关键性分析报告等相关文档,查看其关键性分析的时间点与云服务商定义的系统生命周 期中的决策点是否一致 检查系统设计说明书,关键性分析报告等相关文档,查看其是否有关键信息系统组件和功能 清单
5.8外部信息系统服务及相关服务 -般要求 5.8.1 5.8.1.1评估内容 详见GB/T31168一2014中5.8.1的a),b)和e). 5.8.1.2评估方法 5.8.1.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求外部服务如电信服 务、安全运维、安保服务等)提供商遵从并实施云服务商安全要求的内容; 访谈信息安全的第一负责人或系统安全负责人等相关人员,询问其是否有外部服务提供商清 单.以及外部服务提供商遵从并实施云服务商的安全要求的情况; 检查外部服务提供商清单,外部服务提供商管理规定等相关文档,查看其是否有相关要求
5.8.1.2.2对b)的评估方法为: 检查与外部服务提供商的服务合同等相关文档,查看其是否明确了外部服务提供商的安全分 工与责任,是否要求外部服务提供商接受相关客户监督 访谈信息安全的第一负责人或系统安全负责人等相关人员,询问其外部服务提供商的安全分 工与责任,以及外部服务提供商接受相关客户监督的情况. 5.8.1.2.3对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否针对外部服务提供商定义了 对其持续监控的具体过程、方法和技术; 检查针对外部服务提供商的持续监控计划和持绩监控报告,查看其是否按照所定义的过程.方" 法和技术对外部服务提供商提供的安全措施的合规性进行了持续监控; 访谈系统安全负责人等相关人员,询问其是否具备足够资源(技术、人力等),以满足对外部服 务提供商提供的安全措施的合规性进行持续监控的需求
5.8.2增强要求 5.8.2.1评估内容 详见GB/T31l68一2014中5.8.2的a),b),e),d),e)和 5.8.2.2评估方法 5.8.2.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了拟采购或外包的安全 服务,是否要求针对该安全服务进行风险评估; 1
GB/T34942一2017 -访谈系统安全负责人或负责采购业务的相关人员,询问其在采购或外包(如应急志愿服务等 安全服务之前,是否对其进行全面的风险评估 检查风险评估报告,查看其是否按要求进行了风险评估
5.8.2.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了批准拟采购或外包的 安全服务的人员或角色; 检查审批记录,查看其是否由所定义的人员或角色予以批准
5.8.2.2.3对c)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了外部服务,是否要求外 部服务提供商以文档形式具体说明该外部服务涉及的功能、端口、协议和其他服务 检查外部服务提供商提供的说明文档,查看其是否对所定义的外部服务涉及的功能、端口、协 议和其他服务予以说明
对心)的评的方法为 5.8.2.2.4 检查系统开发与供应链安全策略与规程等相关文档,查看其是香定义了用于保持与外部服务 提供商的信任关系的安全要求、属性、因素或者其他条件,例如外部服务提供商已获得的各类 资质、与云服务商存在战略合作或投资关系等 访谈系统安全负责人或负责采购业务的人员等相关人员,询问其保持与外部服务提供商信任 关系的方法,查看该方法是否属于所定义的安全要求、,属性、因素或者其他条件
5.8.2.2.5对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了安全措施以防止所定 义的外部服务提供商损害本组织的利益,安全措施可以是 1) 对外部服务提供商进行人员背景审查,或要求外部服务提供商提供可信的人员背景审查结果
检查外部服务提供商资本变更记录 选择可信赖的外部服务提供商,如有过良好合作的提供商
3 4 定期或不定期检查外部服务提供商的设施
检查云服务商定义的安全措施的实施记录等相关文档,查看其是否符合要求; 访谈系统安全负责人等相关人员,询问其针对不同外部服务提供商所选择的安全防护措施的 落实情况
5.8.2.2.6对的评估方法为 -检查合同、系统开发与供应链安全策略与规程等相关文档,查看其是否定义了限制信息处理 信息或数据/信息系统服务地点的要求或条件 -访谈系统安全负责人或负责采购业务的人员等相关人员,询问其限制外部服务提供商信息处 理、信息或数据存储、信息系统服务地点的安全措施,查看其是否符合所定义的要求或条件
5.9开发商安全体系架构 5.9.1 般要求 无
5.9.2增强要求 5.9.2.1 评估内容 详见GB/T31168一2014中5.9.2的a),b),e)和d). 12
GB/34942一2017 5.9.2.2评估方法 5.9.2.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程,查看其是否要求开发商制定设计规范和安全架构,是 否要求该架构符合下列条件 该架构应符合或持云服务商的安全架构
22) 准确完整地描述了所需的安全功能,并且为物理和逻辑组件分配了安全措施
3 说明各项安全功能、机制和服务如何协同工作,以提供完整一致的保护能力
检查云服务商收到的设计规范和安全架构以及云服务商的安全架构相关文档,查看其是否符 合 上述1)、2)和3)的要求
5.9.2.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程,查看其是否有要求开发商提供云服务所需的与安全 相关的硬件、软件和固件的相关信息说明的内容 检查云服务商收到的相关文档,例如设计规范、管理员文档等,查看其是否符合要求
5.9.2.2.3对c)的评估方法为: 检查系统开发与供应链安全策略与规程,查看其是否要求开发商编制非形式化的高层说明书 说明安全相关的硬件、软件和固件的接口;是否要求开发商通过非形式化的证明,说明该高层 说明书完全覆盖了与安全相关的硬件、软件和固件的接口; 检查云服务商收到的非形式化高层说明书,查看其是否说明安全相关的硬件、软件和固件的 接口; 检查云服务商收到的非形式化的证明文档,查看其是否完全覆盖了与安全相关的硬件、软件和 固件的接口
5.9.2.2.4对d)的评估方法为: 检查系统开发与供应链安全策略与规程,查看其是否有要求开发商在构造安全相关的硬件,软 件和固件时,须考虑便于测试、便于实现最小特权访问控制等因素的内容; 访谈云服务商的系统开发人员或开发商等相关人员,询问其在构造安全相关的硬件、软件和固 件时,考虑的便于测试、便于实现最小特权访问控制等因素的实现情况 5.10开发过程、标准和工具 5.10.1 一般要求 无
5.10.2增强要求 5.10.2.1评估内容 详见GB/T311682014中5.10.2的a)、,b),c),d、e)、f)、g)、h),iD)、j)和k) 5.10.2.2评估方法 对)的评估方法为 5.10.2.2.1 检查系统开发与供应链安全策略与规程,查看其是否要求开发商制定明确的开发规范,是否要 求在开发规范中明确以下事项 1所开发系统的安全需求; 13
GB/T34942一2017 2 开发过程中使用的标准和工具 3)开发过程中使用的特定工具选项和工具配置
检查云服务商收到的开发规范,查看其是否明确了上述相应事项
5.10.2.2.2对b)的评估方法为: 一检查系统开发与供应链安全策略与规程,查看其是否有确保开发过程完整性和工具变更完整 性相关措施的要求; 访谈云服务商的系统开发人员等相关人员,询问其确保开发过程完整性和工具变更完整性的 相关措施; -检查云服务商收到的开发规范、开发过程文档和工具变更记录,查看开发过程和工具变更是否 完整
5.10.2.2.3对c)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了审查开发过程、标准 工具以及工具选项和配置的频率,是否定义了安全需求 检查云服务商收到的开发规范,查看其开发过程、标准、工具以及工具选项和配置是否符合云 服务商定义的安全需求; 检查审查记录,查看其是否按照所定义的频率进行审查
5.10.2.2.4对d)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是青规定了检查质量度量标准落 实情况的节点,是否要求开发商在开发过程的初始阶段定义检查质量度量标准,是否要求在规 定的节点检查质量度量标准的落实情况; 检查云服务商收到的开发规范等相关文档,查看开发商在开发过程的初始阶段是否定义了质 量度量标准; 检查云服务商收到的开发规范、设计文档、测评文档等相关文档,查看其是否按要求落实了质 量度量标准; 访谈云服务商的系统安全负责人或负责质量管理的人员等相关人员,询问其质量度量标准的 落实情况
5.10.2.2.5对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商确定了安全问题 追踪工具,是否要求开发商在开发过程期间使用 -检查云服务商收到的安全问题追踪清单及工具使用记录,查看其是否按要求使用
5.10.2.2.6对f)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了对信息系统进行威胁 和脆弱性分析的广度和深度; -检查威胁和脆弱性分析报告等相关文档,查看其是否按照所定义的广度和深度对信息系统进 行威胁和脆弱性分析
5.10.2.2.7对g)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商制定用来持续 改进开发过程的清晰流程的内容; 检查云服务商收到的流程管理相关文档,查看其是否能够通过该流程来持续改进开发过程
5.10.2.2.8对h)的评估方法为: 一检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了执行漏洞分析工具, 14
GB/34942一2017 是否定义了工具的输出和分析结果提交的人员和角色 检查漏洞分析记录,查看开发商是否使用所定义的工具执行漏洞分析,明确漏洞利用的可能 性,确定漏洞消减措施; -访谈所定义的人员或角色,询问其接收工具输出和分析结果的情况
5.10.2.2.9对i)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求信息系统、组件或服务的 开发商即使在交付信息系统、组件或服务后,也应跟踪漏洞情况;是否要求开发商在发布漏洞 补丁前便通知云服务商;是否要求将漏洞补丁交由云服务商审查、验证并允许云服务商自行 安装; -检查云服务商收到的漏洞跟踪记录、漏洞发布记录,查看开发商是否在交付后持续跟踪了 漏洞; 检查云服务商收到的漏洞补丁的发布记录,查看其是否在开发商发布漏洞补丁前便接到通知; 查看在发布记录里是否包含了审查、验证,以及允许云服务商自行安装漏洞补丁的内容 检查漏洞补丁的审查和验证记录,查看云服务商是否对漏洞补丁进行审查、验证; 访谈云服务商的维护人员,询问其是否可以自行安装漏洞补丁
5.10.2.2.10对j的评估方法为
-检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在信息系统、组件或服务的 开发和测试环境使用生产数据时,先行批准、记录并进行保护的要求; 检查在信息系统、组件或服务的开发和测试环境使用生产数据的记录文档,查看其是否按照要 求先行批准、记录并进行保护; 访谈云服务商的系统安全负责人或系统开发人员等相关人员,询问其在开发和测试环境使用 生产数据的保护措施
5.10.2.2.11对k)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商制定应急预案,并 将应急预案纳人云服务商的事件响应计划中 检查事件响应计划,查看其是否包含了开发商的应急预案
5.11开发商配置管理 5.11.1 -般要求 5.11.1.1评估内容 详见GB/T31168一2014中5.l1.1的a),b),e),d)和e)
5.11.1.2评估方法 5.11.1.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否选择了实施配置管理的过程 是否有要求开发商在信息系统、组件或服务的设计、开发,实现或运行过程中实施配置管理的 内容; 检查云服务商收到的配置管理相关文档,例如配置管理计划,查看配置管理文档是否涉及了设 计、开发实现或运行过程
5.11.1.2.2对b)的评估方法为: 15
GB/T34942一2017 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了开发商需要记录、管理 和控制的配置项;是否有要求开发商记录、管理和控制配置项变更完整性的内容 检查云服务商收到的配置项变更记录,查看所定义的配置项的变更是否完整
5.11.1.2.3对c)的评估方法为: -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商得到批准后,才 能对所提供的信息系统、组件或服务进行变更的内容; 检查云服务商收到的配置项变更记录等相关文档,例如配置项变更申请表,查看变更是否得到 云服务商的批准
对小的评估方法为 5.11.1.2.4 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商记录对信息系 统、组件或服务的变更及其所产生的安全影响的内容
检查云服务商收到的配置项变更记录等相关文档,查看其是否对变更产生的安全影响进行了 分析
5.11.1.2.5对e)的评估方法为: -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商跟踪信息系统、 组件或服务中的安全缺陷和解决方案的内容
检查云服务商收到的安全缺陷跟踪记录和解决方案,查看其是否对安全缺陷进行了跟踪,并解 决了安全缺陷
5.11.2增强要求 5.11.2.1 评估内容 详见GB/T31168一2014中5.11.2的a),b),e),d,e)和f. 5.11.2.2评估方法 5.11.2.2.1对a)的评估方法为: 一检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商提供能够验证 软件和固件组件完整性方法的内容 访谈云服务商的系统安全负责人或系统开发人员等相关人员,询问其验证软件和固件组件完 整性的方法; 检查云服务商收到的设计说明书等相关文档,查看其是否对软件和固件组件完整性验证方法 进行了详细的说明
5.11.2.2.2对b)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在没有专用的开发商配置 团队支持的情况下,由云服务商的人员建立相应配置管理流程的要求; -访谈云服务商的系统安全负责人或配置管理相关人员,询向其开发商甩置管理悄况,以及云服 务商相应的配置管理情况 检查云服务商的配置管理计划等相关文档,查看其是否在没有专用的开发商配置团队支持的 情况下,由云服务商的人员建立相应配置管理流程
5.11.2.2.3对e)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商提供对硬件组 件完整性验证方法的内容; 16
GB/34942一2017 访谈云服务商的系统安全负责人或维护人员等相关人员,询问其验证硬件组件完整性的方法; 检查云服务商收到的设计说明书等相关文档,查看其是否对硬件组件完整性进行详细的说明
5.11.2.2.4对d)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商在开发过程中 使用工具验证软件或固件源代码、目标代码的当前版本与以往版本异同,以防止非授权更改的 内容; -检查云服务商收到的设计说明书等相关文档,查看其是否详细说明了防止非授权更改的验证 方法; 检查云服务商收到的对源代码、目标代码的异同进行验证的记录文档,查看开发商是否进行了 验证 5.11.2.2.5对e)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商采取有关措施 保障安全相关的硬件、软件和固件的出厂版本与现场运行版本一致,以防止非授权更改的 内容; 检查云服务商收到的配置管理计划、移交计划、措施实施记录等相关文档,查看开发商所采取 的有关措施,以及措施实庖情况 访谈云服务商的系统安全负责人或负责采购业务的人员等相关人员,询问其措施实施情况
5.11.2.2.6对f)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商采取有关措施 保障安全相关的硬件、软件和固件的更新版本与内部版本一致,以防止非授权更改的内容; 一检查云服务商收到的配置管理计划、移交计划、措施实施记录等相关文档,查看开发商所采取 的有关措施,以及揩施实施情况 访谈云服务商的系统安全负责人等相关人员,询问其措施实施情况
5.12开发商安全测试和评估 5.12.1一般要求 5.12.1.1评估内容 详见GB/T31168一2014中5.12.1的a),b),c),d)和e)
5.12.1.2评估方法 5.12.1.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商制定并实施云 计算平台信息系统、组件或服务开发清单中相应安全评估计划的内容; 检查云服务商收到的安全评估计划,查看开发商是否按要求制定了安全评估计划
5.12.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是香定义了在单元、集成、系统或 回归测试或评估时应执行的深度和覆盖面
5.12.1.2.3对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是香有要求开发商提供安全评估 计划的实施证明材料和安全评估结果的内容; 17
GB/T34942一2017 检查云服务商收到的安全评估计划,安全评估报告等相关文档,查看开发商是否按照云服务商 定义的深度和覆盖面执行相应的测试或评估
5.12.1.2.4对d)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商实施可验证的 缺陷修复过程的内容; 一检查云服务商收到的缺陷修复报告等相关文档,查看开发商是否实施了可被验证的修复过程, 访谈云服务商的系统安全负责人等相关人员,询问其缺陷修复过程是否可以被验证
5.12.1.2.5对e)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商更正在安全评 估过程中发现的脆弱性和不足的内容 检查云服务商收到的安全评估报告、缺陷修复报告等相关记录,查看开发商是否更正了在安全 评估过程中发现的脆弱性和不足
5.12.2增强要求 5.12.2.1评估内容 详见GB/T31168一2014中5.12.2的a),b),c),d)e)、f),g)和h) 5.12.2.2评估方法 5.12.2.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是香有要求开发商在开发阶段使 用静态代码分析工具识别常见缺陷以及记录分析结果的内容 一检查云服务商收到的缺陷分析报告或记录等相关文档,查看开发商是否在开发阶段使用静态 代码分析工具识别常见缺陷
5.12.2.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商实施威胁和脆 弱性分析,并测试或评估已开发完成的信息系统,组件或服务的内容; 检查云服务商收到的缺陷分析报告或记录等相关文档,查看开发商是否对威胁和脆弱性进行 了分析 检查云服务商收到的测试或评估报告,查看开发商是否对已开发完成的系统、组件或服务进行 了测试或评估
5.12.2.2.3对c)中条款1)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了第三方的独立性准则; 是否要求选择所定义的第三方验证开发商实施安全评估计划的正确性以及在安全测试或评估 过程中产生的证据 -枪查云服务商提供的第三方资质证明等相关材料,查看云服务商是否按照所定义的独立性准 则选择第三方
5.12.2.2.4对e)中条款2)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有对开发商进行评估时,确保 独立第三方能够获得足够的资料来完成验证过程,或已被授予获得此类信息的访问权限的 要求 一检查云服务商与第三方签订的合同等相关文档,查看其是否能确保独立第三方完成验证过程, 18
GB/34942一2017 或已被授予获得所需信息的访问权限 访谈系统安全负责人或独立第三方等相关人员,询问其独立第三方对开发商进行安全评估的 情况
5.12.2.2.5对d)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了人工代码审查过程、规 程或技术,是否定义了特定代码;是否要求开发商实施人工代码审查;是否要求开发商提供易 于理解的审查结果;是否要求云服务商使用通过开发商审查的代码可重构系统; 检查云服务商收到的人工代码审查结果,查看开发商是否实施了人工代码审查; 访谈云服务商的系统安全负责人或系统开发人员等相关人员.询问其人工代码审查情况和系 统重构情况
5.12.2.2.6对e)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了渗透性测试的约束条 件;是否定义了渗透性测试的广度和深度;是否要求开发商按照所定义的约束条件,执行符合 要求的广度和深度的渗透性测试; 检查云服务商收到的渗透性测试报告,查看其是否按照所定义的约束条件以及广度和深度执 行渗透性测试
5.12.2.2.7对f)的评估方法为 -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商分析所提供的 硬件、软件和固件容易受到攻击的脆弱点的内容; 检查云服务商收到的脆弱点分析报告等相关文档,查看开发商是否进行了脆弱点分析
5.12.2.2.8对g)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了开发商验证安全措施 测试或评估的广度和深度,是否要求开发商验证安全措施测试或评估过程满足所定义的广度 和深度要求; 检查开发商提供的测试或评估报告,查看其是否满足服务商定义的广度和深度要求
5.12.2.2.9对h)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商在开发阶段使 用动态代码分析工具识别常见缺陷以及记录分析结果的内容; 检查云服务商收到的缺陷分析报告或记录等相关文档,查看开发商是否在开发阶段使用动态 代码分析工具识别常见缺陷
5.13开发商提供的培训 5.13.1一般要求 5.13.1.1评估内容 详见GB/T31168一2014的5.13.1
5.13.1.2评估方法 评估方法如下 检查系统开发与供应链安全策略与规程等相关文档,查看其是香定义了开发商需提供的有助 于正确使用所交付系统或产品中的安全功能、措施和机制的培训,是否要求开发商提供所定义 19
GB/T34942一2017 的培训 检查培训记录等相关文档,查看开发商是否实施了所定义的培训; -访读云服务商的维护人员等相关人员,询问培训实施悄况 5.13.2增强要求 无 5.14防篡改 5.14.1一般要求 无
5.14.2增强要求 5.14.2.1评估内容 详见GB/T311682014中5.14.2的a),b)和e)
5.14.2.2评估方法 5.14.2.2.1对a)的评估方法为: -检查系统开发与供应链安全策略与规程等相关文档,查看其是否有实施信息系统、组件或服务 篡改保护的要求 检查篡改保护方案及实施记录等相关文档,查看其是否对信息系统、组件或服务实施了篡改 保护
5.14.2.2.2对b)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有系统生命周期中的设计、开 发、集成,运行和维护等多个阶段使用防篡改技术的要求; -检查设计说明书、开发规范、测试计划等相关文档,查看其是否有防篡改技术的内容; 访谈系统安全负责人、系统开发人员、维护人员等相关人员,询问其防篡改技术的使用情况
5.14.2.2.3对c)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否随机或按照所定义的频率,在 所定义的情况下,对所定义的信息系统、组件或设备进行篡改检测; -检查检测篡改的记录,查看云服务商是否对所定义的信息系统、组件或设备按照要求实施了篡 改检测
5.15组件真实性 5.15.1 般要求 无 5.15.2增强要求 5.15.2.1 评估内容 详见GB/T31l68一2014中5.15.2的a),b),e),d),e)和b. 20
GB/34942一2017 5.15.2.2评估方法 5.15.2.2.1对a)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有制定和实施防胭品策略与 规程的要求,是否有检测并防止胭品组件进人信息系统的要求 -访谈系统安全负责人或负责采购业务的人员等相关人员,询网其检测并防止朋品组件进人信 息系统的措施
5.15.2.2.2对b)的评估方法为 检查防质品的策略与规程相关文档,查看其是否有向正品厂商/云服务商定义的外部报告机 构/云服务商定义的人员和角色或其他有关方面报告赝品组件的内容 访谈所定义的人员和角色等相关人员,询问其胭品组件报告情况; 检查报告腿品组件的记录等相关文档,查看其是否按照要求报告
5.15.2.2.3对c)的评估方法为 -检查防质品的策略与规程相关文档,查看其是否定义了接收有关品组件检测培训的人员或 角色; 检查有关品组件检测的培训记录,查看其是否对所定义的人员或角色进行了培训: -访谈所定义的人员或角色,询问其质品组件检测的培训情况 5.15.2.2.4对d)的评估方法为: 检查防腮品的策略与规程相关文档,查看其是否定义了在等待服务或维修,以及已送修的组件 返回时,需保持配置控制权的系统组件;是否要求所定义的系统组件在等待服务或维修,以及 已送修后返回时,需保持配置控制权 -访谈系统安全负责人或维护人员等相关人员,询间其保持系统组件配置权的情况
5.15.2.2.5对e)的评估方法为: 检查防品的策略与规程相关文档,查看其是否定义了销毁废弃信息系统组件的技术和方法; 检查销毁废弃信息系统组件的记录等相关文档,查看其是否使用所定义的技术和方法销毁废 弃的信息系统组件; 访谈系统安全负责人或维护人员等相关人员,询问其废弃的系统组件销毁情况
5.15.2.2.6对)的评估方法为: 一检查防品的策略与规程相关文档,查看其是否定义了检查信息系统中质品组件的频率 检查信息系统中腹品组件的检查记录等相关文档,查看其是否按照定义的频率执行
5.16不被支持的系统组件 5.16.1一般要求 无
5.16.2增强要求 5.16.2.1评估内容 详见GB/T311682014中5.16.2的a)和b)
5.16.2.2评估方法 5.16.2.2.1对a)的评估方法为: 21
GB/T34942一2017 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有系统组件不被支持时替换 该系统组件的要求; 访谈系统安全负责人或维护人员等相关人员,询问其是否有替换系统组件的情况以及系统组 件不被提供支持时替换该组件的处理情况; 检查系统组件替换方案、资产清单和组件替换记录等相关文档,查看其是否在系统组件不被支 持时替换该系统组件
5.16.2.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在系统组件不被支持但又 需使用时,提供正当理由并经过本组织领导层批准的要求;是否有为该组件提供内部支持或定 义了其他外部提供商支持的要求 -访谈系统安全负责人或维护人员等相关人员,询问其是否有系统组件不被提供支持而又需使 用的情况,以及该情况下如何处理; 检查系统组件支持方案,资产清单,批准记录等相关文档,查看其是否当系统组件不被支持但 又需使用时,有正当理由并经过云服务商领导层的批准
5.17供应链保护 5.17.1一般要求 5.17.1.1 评估内容 详见GB/T311682014中5.17.1的a)、b)和c
5.17.1.2评估方法 5.17.1.2.1对a)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有注明哪些外包的服务或采 购的产品对云计算服务的安全性存在重要影响的要求; 检查云计算平台设计说明书等相关文档,查看其是否注明了对云计算服务安全性存在重要影 响的外包服务或采购产品; 访谈系统安全负责人或负责采购业务的人员等相关人员,询问其外包服务或采购产品对云计 算服务安全性的影响情况
5.17.1.2.2对b)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,是否定义了按照政府有关部门已设立的 信息安全测评或审查制度要求通过检测的重要设备 检查所定义的重要设备通过信息安全测评或者审查的证书或报告,查看其是否通过了已经定 义的安全测评或者审查
5.17.1.2.3对e)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了对重要的信息系统、组 件或服务实施的供应链保护措施; -访谈系统安全负责人或负责供应链管理的人员等相关人员,询问其供应链保护措施实施情况 检查云服务商所定义的供应链保护措施,根据实际情况,可进行下列检查: 检查设计说明书、开发计划等相关文档,查看其是否规定了对产品的开发环境、开发设备 以及对开发环境的外部连接实施的安全控制 22
GB/34942一2017 检查筛选开发商和审核开发设计人员记录等相关文档,查看其是否按规定进行筛选和 审核; 检查重要信息系统、组件或服务的移交计划等相关文档,查看其是否要求在运输或仓储使 3 用防篡改包装 5.17.2增强要求 5.17.2.1评估内容 详见GB/T311682014中5.17.2的a),b)、c),d),e)、f)、g)、h),i)j,k)、,I)和m)
5.17.2.2评估方法 5.17.2.2.1对a)的评估方法为 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了采购策略,合同工具和 采购方法;是否要求实施; 检查采购方案,招标文件、合同等相关文档,查看其是否优先选择下列供应商 保护措施符合法律、法规、政策、标准以及云服务商的安全要求; iD i)企业运转过程和安全措施相对透明; i)对下级供应商,关键组件和服务的安全提供了进一步的核查; v)在合同中声明不使用有恶意代码产品或假冒产品; 检查采购方案、招标文件、合同等相关文档,查看其是否尽量缩短采购时间和交付时间 2 3)检查采购方案、合同、移交计划等相关文档,查看其是否有使用可信或可控的分发、交付和 仓储手段的要求; 4)检查采购方案,合同等相关文档,查看其是否限制从特定供应商或国家采购产品或服务 访谈系统安全负责人或负责采购业务的人员等相关人员,询问其采购策略、合同工具和采购方 法的实庖情况
5.17.2.2.2对b)的评估方法为 一检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在签署合同前对供应商进 行审查的要求; 检查分析记录,查看云服务商是否对供应商的相关过程等进行分析 2)检查评价记录,查看云服务商是否对供应商在开发信息系统、组件或服务时接受的安全培 训和积累的经验进行评价; 访谈系统安全负责人或负责供应链管理的人员等相关人员,询问其在签署合同前对供应商审 查的实施情况
5.17.2.2.3对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了为降低攻击者利用供 应链造成的危害而采取的保护措施;是否要求采用该保护槽施降低攻击者利用供应链造成的 危害; 检查采购方案,合同等相关文档,查看其是否优先购买现货产品,避免购买定制设备; 检查采购方案、合同等相关文档,查看其是否在能提供相同产品的多个不同供应商中做选 2 择,以防范供应商锁定风险; 3 检查采购方案、合格供应商列表等相关文档,查看其是否选择有声誉的企业,建立了合格 供应商列表; 23
信息安全技术云计算服务安全能力评估方法GB/T34942-2017解析
GB/T34942-2017是由国家标准化管理委员会发布的,针对云计算服务提供商开展信息安全能力评估的标准。
该标准主要从以下四个方面评估云计算服务的安全能力:
- 物理安全:包括机房环境、设施及设备安全等。
- 网络安全:包括网络结构、通信协议、数据传输加密等。
- 系统安全:包括操作系统、数据库、应用系统等安全措施。
- 管理安全:包括组织保护、安全政策、人员管理等安全管理制度。
在评估过程中,根据不同的云服务类型和安全需求,可采用不同的评估方法。例如,对于基础架构即服务(IaaS)类型的云服务,重点评估其物理安全和网络安全;而对于软件即服务(SaaS)类型的云服务,则更注重系统安全和管理安全。
GB/T34942-2017标准还提出了相应的评估等级划分,分为3个等级:一般级、较高级和高级。其中,高级评估要求云计算服务提供商具备完善的信息安全管理制度和相应的技术措施,能够保障用户数据的机密性、完整性和可用性。
值得注意的是,该标准并不是强制性的,但对于云计算服务提供商而言,通过遵守该标准进行自我评估或第三方评估,可以提高其服务的安全可靠性,增强用户的信任。
总之,GB/T34942-2017为云计算服务提供商开展信息安全能力评估提供了规范和指导,有助于云计算服务的安全可靠性得到进一步提升。
信息安全技术云计算服务安全能力评估方法的相关资料
- 了解信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T26855-2011
- 金融服务信息安全指南GB/T27910-2011解读
- 银行业务密钥管理(零售)第3部分:非对称密码系统及其密钥管理和生命周期GB/T27909.3-2011
- 银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期GB/T27909.2-2011
- 信息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T28455-2012
- 信息安全技术云计算安全参考架构GB/T35279-2017解读
- 信息技术云计算云服务交付要求GB/T37741-2019解读
- 信息技术云计算云资源监控通用要求GB/T37736-2019
- 信息技术云计算云服务采购指南GB/T37734-2019
