GBT 34942-2017标准规范下载简介
GBT 34942-2017 信息安全技术 云计算服务安全能力评估方法简介:
GBT 34942-2017 是中国的一项国家标准,全称为《信息安全技术 云计算服务安全能力评估方法》。这项标准主要定义了云计算服务的安全能力评估框架和方法,旨在为云计算服务的提供者和使用者提供一套统一、规范的安全评估依据,以确保云计算服务的安全性和合规性。
该标准主要包含了以下几个方面的内容:
1. 安全评估目标:明确云计算服务的安全评估目标,即确认服务是否满足法律法规以及用户的安全需求。
2. 安全评估范围:定义了云计算服务的安全评估范围,包括基础设施安全、平台安全、数据安全、服务安全、隐私保护、风险管理等多个方面。
3. 安全评估方法:描述了进行安全评估的具体方法,如风险评估、漏洞评估、配置评估等,并提供了评估指标和评估过程的指导。
4. 安全能力等级:将云计算服务的安全能力分为多个等级,如基础级、增强级、高级等,以反映服务的安全保障程度。
5. 安全能力要求:详细列出了每个安全能力等级应满足的具体安全要求。
这份标准的发布,能帮助云计算服务提供商提升服务质量,保障用户的数据安全和隐私,同时也能帮助用户在选择云计算服务时,有一个明确和公正的安全评估依据,降低使用风险。
请注意,实际使用时,应结合具体业务场景和法律法规要求,可能需要结合其他标准和规范进行综合评估。
GBT 34942-2017 信息安全技术 云计算服务安全能力评估方法部分内容预览:
2)开发过程中使用的标准和工具; 3)开发过程中使用的特定工具选项和工具配置。 检查云服务商收到的开发规范,查看其是否明确了上述相应事项。 5.10.2.2.2对b)的评估方法为: 检查系统开发与供应链安全策略与规程,查看其是否有确保开发过程完整性和工具变更完整 性相关措施的要求; 访谈云服务商的系统开发人员等相关人员,询问其确保开发过程完整性和工具变更完整性的 相关措施; 检查云服务商收到的开发规范、开发过程文档和工具变更记录,查看开发过程和工具变更是否 完整
5.10.2.2.3对c)的评估方法为:
检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了审查开发过程、标准、 工具以及工具选项和配置的频率,是否定义了安全需求; 检查云服务商收到的开发规范,查看其开发过程、标准、工具以及工具选项和配置是否符合云 服务商定义的安全需求; 检查审查记录,查看其是否按照所定义的频率进行审查, 10.2.2.4对d)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否规定了检查质量度量标准落 实情况的节点,是否要求开发商在开发过程的初始阶段定义检查质量度量标准,是否要求在规 定的节点检查质量度量标准的落实情况; 检查云服务商收到的开发规范等相关文档,查看开发商在开发过程的初始阶段是否定义了质 量度量标准; 检查云服务商收到的开发规范、设计文档、测评文档等相关文档,查看其是否按要求落实了质 量度量标准; 访谈云服务商的系统安全负责人或负责质量管理的人员等相关人员DB∕T 29-74-2018 天津市城市道路工程施工及验收标准,询问其质量度量标准的 落实情况, 10.2.2.5对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商确定了安全问题 追踪工具,是否要求开发商在开发过程期间使用: 检查云服务商收到的安全问题追踪清单及工具使用记录,查看其是否按要求使用。 10.2.2.6对f)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了对信息系统进行威胁
检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了审查开发过程、标 工具以及工具选项和配置的频率,是否定义了安全需求; 检查云服务商收到的开发规范,查看其开发过程、标准、工具以及工具选项和配置是否符合 服务商定义的安全需求; 检查审查记录,查看其是否按照所定义的频率进行审查
5.10.2.2.4对d)的评估方法为:
检查系统开发与供应链安全策略与规程等相关文档,查看其是否规定了检查质量度量标准落 实情况的节点,是否要求开发商在开发过程的初始阶段定义检查质量度量标准,是否要求在规 定的节点检查质量度量标准的落实情况; 检查云服务商收到的开发规范等相关文档,查看开发商在开发过程的初始阶段是否定义了质 量度量标准: 检查云服务商收到的开发规范、设计文档、测评文档等相关文档,查看其是否按要求落实了质 量度量标准; 访谈云服务商的系统安全负责人或负责质量管理的人员等相关人员,询问其质量度量标准的 落实情况。 1025对湿法
5.10.2.2.5对e)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档,查看其是否要求开发商确定了安全问题 追踪工具,是否要求开发商在开发过程期间使用; 检查云服务商收到的安全问题追踪清单及工具使用记录,查看其是否按要求使用。 5.10.2.2.6对f)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了对信息系统进行威胁 和脆弱性分析的广度和深度; 检查威胁和脆弱性分析报告等相关文档,查看其是否按照所定义的广度和深度对信息系统进 行威胁和脆弱性分析。 5.10.2.2.7对g)的评估方法为:
2.2.7对g)的评估方法
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商制定用来持统 改进开发过程的清晰流程的内容; 检查云服务商收到的流程管理相关文档,查看其是否能够通过该流程来持续改进开发过程, 5.10.2.2.8对h)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了执行漏洞分析工具
GB/T349422017
5.10.2.2.10对i)的评估方法为
5.10.2.2.11对k)的评估方法为!
5.11开发商配置管理
5.11.1.1评估内容
5.11.1.2评估方法
5.11.1.2.1对a)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档查看其是否选择了实施配置管理的过程 是否有要求开发商在信息系统、组件或服务的设计、开发、实现或运行过程中实施配置管理的 内容; 检查云服务商收到的配置管理相关文档,例如配置管理计划,查看配置管理文档是否涉及了设 计、开发、实现或运行过程。 111 2 2对 h的评估方注为
5.11.1.2.2对b)的评估方法为
GB/T 349422017
检查系统开发与供应链安全策略与规程等相关文档,查看其是否定义了开发商需要记录、管理 和控制的配置项;是否有要求开发商记录、管理和控制配置项变更完整性的内容; 检查云服务商收到的配置项变更记录,查看所定义的配置项的变更是否完整
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商得到批准后,才 能对所提供的信息系统、组件或服务进行变更的内容; 检查云服务商收到的配置项变更记录等相关文档,例如配置项变更申请表,查看变更是否得到 云服务商的批准。
5.11.1.2.4对d)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商记录对信息 统、组件或服务的变更及其所产生的安全影响的内容, 检查云服务商收到的配置项变更记录等相关文档,查看其是否对变更产生的安全影响进行 分析。
5.11.1.2.5对e)的评估方法为:
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商跟踪信息系统、 组件或服务中的安全缺陷和解决方案的内容。 检查云服务商收到的安全缺陷跟踪记录和解决方案,查看其是否对安全缺陷进行了跟踪,并解 决了安全缺陷
5.11.2.1评估内容
T31168—2014中5.11.2的a)、b)、c)、d)、e)和f)
5.11.2.2评估方法
5.11.2.2.1对a)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商提供能够验证 软件和固件组件完整性方法的内容; 访谈云服务商的系统安全负责人或系统开发人员等相关人员,询问其验证软件和固件组件完 整性的方法; 检查云服务商收到的设计说明书等相关文档,查看其是否对软件和固件组件完整性验证方法 进行了详细的说明。
软件和固件组件完整性方法的内容; 访谈云服务商的系统安全负责人或系统开发人员等相关人员,询问其验证软件和固件组件完 整性的方法; 检查云服务商收到的设计说明书等相关文档,查看其是否对软件和固件组件完整性验证方法 进行了详细的说明。 5.11.2.2.2对b)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在没有专用的开发商配置 团队支持的情况下,由云服务商的人员建立相应配置管理流程的要求; 访谈云服务商的系统安全负责人或配置管理相关人员,询问其开发商配置管理情况,以及云服 务商相应的配置管理情况; 检查云服务商的配置管理计划等相关文档,查看其是否在没有专用的开发商配置团队支持的 情况下,由云服务商的人员建立相应配置管理流程
5.11.2.2.2对b)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档,查看其是否有在没有专用的开 团队支持的情况下,由云服务商的人员建立相应配置管理流程的要求; 访谈云服务商的系统安全负责人或配置管理相关人员,询问其开发商配置管理情况 务商相应的配置管理情况; 检查云服务商的配置管理计划等相关文档,查看其是否在没有专用的开发商配置团 情况下,由云服务商的人员建立相应配置管理流程
5.11.2.2.3对c)的评估方法为
检查系统开发与供应链安全策略与规程等相关文档苏G9607 建筑结构常用节点图集,查看其是否有要求开发商提供对硬件 件完整性验证方法的内容;
GB/T349422017
检查云服务商收到的设计说明书等相关文档,查看其是否对硬件组件完整性进行详细的说明。 5.11.2.2.4对d)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商在开发过程中 使用工具验证软件或固件源代码、目标代码的当前版本与以往版本异同,以防止非授权更改的 内容; 一/ 检查云服务商收到的设计说明书等相关文档,查看其是否详细说明了防止非授权更改的验证 方法; 检查云服务商收到的对源代码、目标代码的异同进行验证的记录文档,查看开发商是否进行了 验证。 5.11.2.2.5对e)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商采取有关措施, 保障安全相关的硬件、软件和固件的出厂版本与现场运行版本一致,以防止非授权更改的 内容; 检查云服务商收到的配置管理计划、移交计划、措施实施记录等相关文档,查看开发商所采取 的有关措施,以及措施实施情况; 访谈云服务商的系统安全负责人或负责采购业务的人员等相关人员,询同其措施实施情况, 5.11.2.2.6对f)的评估方法为: 检查系统开发与供应链安全策略与规程等相关文档,查看其是否有要求开发商采取有关措施 保障安全相关的硬件、软件和固件的更新版本与内部版本一致,以防止非授权更改的内容; 检查云服务商收到的配置管理计划、移交计划、措施实施记录等相关文档,查看开发商所采取 的有关措施,以及措施实施情况; 访谈云服务商的系统安全负责人等相关人员,询间其措施实施情况
5.11.2.2.5对e)的评估方法为!
5.12开发商安全测试和评估
5.12.1.1评估内容
详见GB/T31168—2014中5.12.1的a)、b)、c)、d)和e)
5.12.1.2评估方法
DB32∕T 3311-2017 抗裂嵌挤型水泥稳定碎石路面基层施工技术规范1.2.1对a)的评估方法