GBT 34942-2017标准规范下载简介

GBT 34942-2017 信息安全技术 云计算服务安全能力评估方法

13.12.2增强要求

13.12.2.1评估内容

详见GB/T31168—2014的13.12.2。

13.12.2.2评估方法

DB34／T 3177-2018 公路水运工程预应力张拉有效应力检测指南GB/T349422017

评估方法如下： 检查安全组织与人员策略与规程等相关文档，查看其是否有在安全意识培训中加人有关发现 和报告内部威胁培训的要求； 检查人员的培训记录等相关文档，查看其是否按要求培训； 访谈系统安全负责人或人事管理人员等相关人员，询间其安全意识培训情况

14物理与环境安全评估方法

14.1.1.1评估内容

详见GB/T311682014中14.1.1的a)和b)

14.1.1.2评估方法

14.1.1.2.1对a)的评估方法为

检查物理和环境安全策略与规程等相关文档，查看其是否定义了所分发的人员或角色； 访谈云服务商定义的人员或角色，询问其是否收到过相应的策略与规程 1）检查物理和环境安全策略，查看其是否涉及：目的、范围、角色、责任、管理层承诺、内部协 调、合规性等内容； 2） 检查物理和环境安全策略相关规程，查看其是否有推动物理和环境安全策略及有关安全 措施的实施的内容

14.1.1.2.2对b)的评估方法为

检查物理和环境安全策略与规程等相关文档 ，查看其是否定义了审查和更新频率； 检查审查和更新记录，查看其是否按照定。 义的频率进行审查和更新

14.2物理设施与设备选

14.2.1.1评估内容

GB/T 349422017

14.2.1.2评估方法

14.2.1.2.1对a)的评估方法为：

14.2.1.2.2对b)的评估方法为

应查物理与环境安全策略与规程、风险评宿与持续监控策略与规程等相关文档，查有其是否有 对机房面临的潜在物理和环境危险进行评估，并在风险管理策略中防范此类风险的要求 检查安全评估报告等相关文档，查看其是否对机房面临的潜在物理和环境危险进行了评估； 访谈物理安全负责人等相关人员，询问其在对机房面临的潜在物理和环境危险的评估情况以 及防范风险的情况

1.2.3对c)的评估方法

2.1.2.4对d)的评估方

4.2.1.2.5对e）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有确保云计算服务器及运行关键业 务和数据的物理设备位于中国境内的要求： 访谈系统安全负责人或物理安全负责人等相关人员，询问其承载关键业务和数据的物理设备 的部署情况； 检查信息系统组件清单、关键性分析报告、机房环境等，查看承载关键业务和数据的物理设备 是否部署于中国境内

14.3物理和环境规划

[14.3.1 一般要求

14.3.1.1评估内容

详见GB/T311682014中14.3.1的a）、b)和c)

详见GB/T31168一2014中14.3.1的a）、b)和c)

14.3.1.2评估方法

14.3.1.2.1对a)的评估方法为：

GB/T349422017

检查物理与环境安全策略与规程等相关文档，查看其是否有在进行计算机机房设计时，满足 GB50174一2008相关规定的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其计算机机房设计情况； 检查系统设计说明书、机房环境等相关文档，查看机房的设计是否满足《电子信息系统机房设 计规范》的相关规定。 14.3.1.2.2对b）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了物理和环境威胁； 检查系统设计说明书、机房环境等相关文档，查看其是否合理划分机房物理区域，合理布置信 息系统的组件； 访谈系统安全负责人或物理安全负责人等相关人员，询问其划分机房物理区域、布置信息系统 组件的情况

14.3.1.2.2对b)的评估方法为

检查物理与环境安全策略与规程等相关文档，查看其是否定义了物理和环境威胁； 检查系统设计说明书、机房环境等相关文档，查看其是否合理划分机房物理区域，合理布置 息系统的组件； 访谈系统安全负责人或物理安全负责人等相关人员，询问其划分机房物理区域、布置信息系 组件的情况

14.3.1.2.3对c)的评估方法为

检查物理与环境安全策略与规程、系统设计说明书等相关文档，查着其是否提供了足够的物理 空间、电源容量、网络容量、制冷容量； 访谈系统安全负责人或物理安全负责人等相关人员，询问其物理空间、电源容量、网络容量、制 冷容量等基础设施情况

14.3.2.1评估内容

详见GB/T31168—2014的14.3.2

详见GB/T31168—2014的14.3.2。

14.3.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程、系统设计说明书等相关文档，查看其是否有将云计算平台集 中部署在隔离的物理区域，与服务于其他客户的平台和系统区分开的内容： 访谈系统安全负责人或物理安全负责人等相关人员，询问其为客户提供服务的计算设施的部 署情况； 检查机房环境，查看是否按要求部署

14.4物理环境访问授权

14.4.1.1评估内容

详见GB/T31168—2014中14.4.1的a)、b)、c)和d)

14.4.1.2评估方法

14.4.1.2.1对a)的评估方法为

检查物理与环境安全策略与规程等相关文档，查看其是否有制定和维护具有机房访问权限的 人员名单的要求； 检查人员名单，查看其是否按要求制定。 14.4.1.2.2对b）的评估方法为

GB/T 349422017

检查物理与环境安全策略与规程等相关文档，查看其是否有发布授权凭证的要求； 检查授权凭证发布记录，查看其是否按要求发布； 访谈系统安全负责人或物理安全负责人等相关人员，询问其发布授权凭证的情况。 14.4.1.2.3对c)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了对授权人员名单和凭证进行 定期审查的频率； 检查审查记录，查看其是否接要求对授权人员名单和凭证进行定期审查。 14.4.1.2.4对d)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有及时从授权访问名单中删除不再 需要访问机房的人员的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其从授权访问名单删除不再需要访 问机房的人员的情况； 检查授权访问名单，查看其是否按要求删除了不再需要访问机房的人员

14.4.1.2.3对c)的评估方法为

14.4.2.1评估内容

详见GB/T311682014的14.4.2

14.4.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否有根据职位、角色以及访问的必要性 对机房进行细粒度物理访问授权的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其根据职位、角色以及访问的必要性 对机房进行细粒度物理访问授权的情况； 检查物理访同授权策略，查着其是否根据职位、角色以及访同的必要性不同而设置了不同等级 的物理访问授权

14.5物理环境访问控制

14.5.1.1评估内容

14.5.1.2评估方法

14.5.1.2.1对a）的评估方法为

检查物理与环境安全策略与规程等相关文档，查看其是否定义了对机房实施物理访问授权的 机房出入点；是否定义了对该点的物理访问授权机制； 访谈系统安全负责人或物理安全负责人等相关人员，询问其对所有机房出人点实施物理访问 授权的情况； 检查机房环境，查看其是否对所有定义的机房机出人点实施了物理访问授权措施。 4.5.1.2.2对b）的评估方法为：

GB/T349422017

检查物理与环境安全策略与规程等相关文档，查看其是否定义了需制定和维护物理访问审计 日志的出人点； 检查物理访问审计日志，查看其是否对所定义出人点制定和维护了物理访问审计日志； 访谈物理安全负责人等相关人员，询问制定和维护物理访问审计日志的情况。 14.5.1.2.3对c）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否为公共访同区定义了安全措施： 访谈系统安全负责人或物理安全负责人等相关人员，询问其公共访问区实施安全措施的情况 检查公共访问区现场环境，查看其是否实施了所定义的安全措施。 4

14.5.1.2.4对d)的评估方法为

检查物理与环境安全策略与规程等相关文档，查看其是否定义了应对访问者的行为进行院 和监视的环境； 检查在所定义的环境中的陪同与监视记录，查看其是否按照要求进行陪同和监视： 访谈系统安全负责人或物理安全负责人等相关人员，询问其对访问者的行为进行陪同和监 的情况

14.5.1.2.5对e)的评估方法为：

检查物理与环境安全策略与规程等相关文档，查看其是否有采取相应措施以确保钥匙、访问凭 证以及其他物理访问设备安全的内容； 访谈系统安全负责人或物理安全负责人等相关人员，询问其安全措施落实情况。 14.5.1.2.6对f)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了需进行盘点的物理访问设备 及执行盘点的频率； 检查盘点记录，查看其是否按照定义的频率对所定义的物理访问设备进行盘点； 访谈系统安全负责人或物理安全负责人等相关人员，询问其盘点情况 14.5.1.2.7对g）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了钥匙和访问凭证的更换策略 和更换频率； 检查钥匙和访问凭证更新记录，查看其是否按要求更换； 访谈物理安全负责人等相关人员，询问其更换钥匙和访问凭证的情况

14.5.2.1评估内容

详见GB/T31168—2014的14.5.2。

14.5.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否有对云计算平台设备的物理接触进 行严格限制的内容，例如是否设置云计算平台设备区域门禁，是否要求服务器机柜上锁，是否 禁止wifi无线信道对设备的访问等等； 访谈系统安全负责人或物理安全负责人等相关人员，询问其对云计算平台设备物理接触的限 制情况； 检查机房环境.查看其是否有防护措施严格限制对云计算平台设备的物理接触

GB/T 349422017

14.6.1.1评估内容

14.6.1.2评估方法

评估方法如下： 检查物理与环境安全策略与规程、系统设计说明书等相关文档，查看其是否定义了需进行保护 的云计算平台通信线路和安全防护手段： 检查通信线路的安全保护手段，查看其是否对所定义的云计算平台通信线路均进行了保护； 访谈系统安全负责人或物理安全负责人等相关人员，询问其对通信线路进行保护的情况

14.7输出设备访问控制

14.7.1.1评估内容

见GB/T31168—2014的14.7.1

14.7.1.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了应进行物理访问控制的输出 设备，是否有对所定义的输出设备物理访问控制的机制； 访谈系统安全负责人或物理安全负责人等相关人员，询问对输出设备进行物理访问控制的 情况； 检查对所定义的输出设备物理访问控制的机制，查看其是否按要求实施

14.7.2.1评估内容

详见GB/T31168—2014的14.7.2。

14.7.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程、设计说明书等相关文档，查看其是否定义了应实施电磁泄漏 防护的设备或网络；是否有对所定义的设备或网络的电磁泄漏防护机制； 访谈系统安全负责人或物理安全负责人等相关人员，询问对设备或网络实施电磁泄漏防护的 情况；

检查该电磁泄漏防护机制.查看其按要求实施

14.8.1.1评估内容

LGB/T31168—2014中14.8.1的a）、b）、c）和d

14.8.1.2评估方法

14.8.1.2.1对a)的评估方法为

GB/T349422017

检查物理与环境安全策略与规程、系统设计说明书等相关文档，查看其是否有安装物理入侵警 报装置的内容； 访谈系统安全负责人或物理安全负责人等相关人员，询问其物理人侵警报装置的安装情况： 检查信息系统运行环境，查看其 物理人侵警报装置

检查物理与环境安全策略与规程、系统设计说明书等相关文档，查看其是否有安装物理入侵警

14.8.2.1评估内容

详见GB/T31168—2014的14.8.2

14.8.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程、系统设计说明书等相关文档，查看其是否有对物理入侵警报 装置和监控设备进行监视的内容； 访谈系统安全负责人或物理安全负责人等相关人员，询问其对物理人侵警报装置和监控设备 进行监视的情况； 检查信息系统运行环境，查看其是否按要求对物理人侵警报装置和监控设备进行监视

GB/T349422017

访谈系统安全负责人或物理安全负责人等相关人员，询问其在发生紧急情况时，切断云计算平 台及其单独系统组件电源的情况； 检查云计算平台运行环境，查看其是否有在发生紧急情况时，切断云计算平台及其单独系统组 件电源的能力。 14.10.1.2.4对d)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有在云计算平台或系统组件机房外 特定位置设置紧急断电开关或设备的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其设置紧急断电开关或设备的情况； 一检查云计算平台运行环境，查看其是否在云计算平台或系统组件机房外特定位置设置了紧急 断电开关或设备。 14.10.1.2.5对e）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有对紧急断电设备进行保护，防止非 授权触发的要求，如通过加锁防止非授权触发； 访谈系统安全负责人或物理安全负责人等相关人员，询问其对紧急断电设备保护的情况 检查云计算平台运行环境，查看其是否对紧急断电设备进行了保护。 14.10.1.2.6对f)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有提供短期不间断电源的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其提供短期不间断电源的情况： 检查云计算平台运行环境，查看其是否提供了短期不间断电源，是否能在非正常停电时正常关 团云计算平台

14.10.2增强要求

14.10.2.1评估内容

14.10.2.2评估方法

14.10.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了在非正常停电时，使用长期不 间断电源维持云计算平台最低功能的时间段； 访谈系统安全负责人或物理安全负责人等相关人员，询问其提供长期不间断电源的情况； 检查云计算平台运行环境，查看其是否提供了长期不间断电源，是否能在所定义的时间段内维 持云计算平台的最低功能

14.11应急照明能力

14.11.1一般要求

14.11.1.1评估内容 详见GB/T31168—2014的14.11.1。 14.11.1.2 2评估方法 评估方法如下：

14.11.1.1评估内容 详见GB/T31168—2014的14.11.1 14.11.1.2评估方法 评估方法如下：

14.11.1.1评估内容

GB/T 349422017

检查物理与环境安全策略与规程等相关文档，查看其是否有为云计算平台配备应急照明设备 并进行维护并可在断电的情况下触发的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其配备和维护应急照明设备的情况； 检查云计算平台运行环境，查着其是否配备应急照明设备，是否有可断电自动触发的功能，是 否包括机房内的紧急通道和疏散通道指示牌

14.11.2增强要求

14.12.1一般要求

14.12.1.1评估内容

详见GB/T311682014中14.12.1的a)和b)）

14.12.1.2评估方法

4.12.1.2.1对a)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有按照GB/T9361一2011及其他有 关标准规范的要求设置消防系统的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其设置消防系统的情况； 一 检查云计算平台运行环境，查看其是否按照GB/T9361一2011及其他有关标准规范的要求设 置消防系统。 4.12.1.2.2对b)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有为云计算平台部署火灾检测和灭 火设备/系统并进行维护的要求；是否有灭火设备或系统应使用独立电源的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其云计算平台部署火灾检测和灭火 设备/系统的情况； 检查云计算平台运行环境，查看是否部署了火灾检测和灭火设备、系统，灭火设备或系统是否 使用独立的电源。

14.12.2增强要求

14.12.2.1评估内容

详见GB/T31168一2014中14.1.1的a）、b)和c）

14.12.2.2评估方法

.2.2.1对a)的评估方法

4.12.2.2.1对a）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查着其是否有部署火灾探测设备或系统，其在发 生火灾时能够自动触发，并向应急响应部门发出警报的要求： 访谈系统安全负责人或物理安全负责人等相关人员，询问其部署火灾探测设备或系统的情况； 询问其向应急响应部门发出警报的情况； 检查云计算平台运行环境，查看其是否部署了火灾探测设备或系统，是否在发生火灾时能够自

GB/T349422017

动触发，是否可向应急响应部门发出警报。 4.12.2.2.2对b)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有部署灭火设备或系统，其在发生火 灾时能够自动触发，并向应急响应部门发出警报的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其部署灭火设备或系统的情况；询问 其向应急响应部门发出警报的情况： 检查云计算平台运行环境，查看其是否部署了火火设备或系统，是否在发生火灾时能够自动触 发，是否可向应急响应部门发出警报。 4.12.2.2.3对c)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有在无人值守的机房部署自动灭火 设备或系统的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其在无人值守的机房部署自动灭火 设备或系统的情况； 检查无人值守机房，查看其是否部署了自动灭火设备或系统

14.13温湿度控制能力

14.13.1.1评估内容

14.13.1.2评估方法

14.13.1.2.1对a)的评估方法为

检查物理与环境安全策略与规程等相关文档，查看其是否有维护云计算平台所在机房的温湿 度，使其符合GB50174一2008相关规定的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其维护云计算平台所在机房的温湿 度的情况； 检查云计算平台运行环境，查看其是否接照GB50174一2008的相关规定维护机房的温湿度 4.13.1.2.2对b）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有实时监控温湿度水平的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其实时监控温湿度水平的情况； 检查温湿度实时监控记录，查看其是否实时监控温湿度水平

14.13.2增强要求

14.13.2.1评估内容

GB/T31168—2014的

14.13.2.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否有在机房中使用自动温湿度控制 施，防止温湿度波动对信息系统造成潜在损害的要求：

GB/T 349422017

访谈物理安全负责人，询问其机房中使用自动温湿度控制措施的情况； 检查云计算平台运行环境，查看其是否在机房中使用自动温湿度控制措施，

14.14.1一般要求

14.14.1.1评估内容

详见GB/T31168—2014的14.14.1。

14.14.1.2评估方流

14.14.1.2评估方法

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否有合理规划供水系统，保证总阀门 常可用，确保关键人员知晓阀门位置的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其规划供水系统、阀门位置的情况 检查云计算平台运行环境，查看其是否按要求规划供水系统，总阀门是否正常可用

评估方法如下： 检查物理与环境安全策略与规程等相关文档，查看其是否有合理规划供水系统，保证总阀门正 常可用，确保关键人员知晓阀门位置的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其规划供水系统、阀门位置的情况： 检查云计算平台运行环境，查看其是否按要求规划供水系统，总阀门是否正常可用

DB34／T 3047-2017 普通干线公路施工标准化指南14.14.2增强要求

14.15设备运送和移除

14.15.1一般要求

14.15.1.1评估内容

14.15.1.2评估方法

4.15.1.2.1对a)的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否有建立重要设备台账，明确设备所有 权，并确定责任人的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其重要设备台账建立情况： 检查重要设备台账，查看其是否明确设备所有权，并确定责任人。 4.15.1.2.2对b）的评估方法为： 检查物理与环境安全策略与规程等相关文档，查看其是否定义了对进入和离开机房进行授权 和监控的信息系统组件，是否有制定和维护相关记录的要求； 访谈系统安全负责人或物理安全负责人等相关人员，询问其信息系统组件进入和离开机房的 授权和监控情况； 检查信息系统组件授权和监控记录，查看其是否符合要求

4.15.2增强要求

14. 15.2增强要求

GB／T 51332-2018 含硝基苯类化合物废水处理设施工程技术标准GB/T349422017