问题和检查项

SEC01 如何整体考虑云安全治理策略？

1. 建立安全管理队
2. 建立安全基线
3. 梳理资产清单
4. 分隔工作负载
5. 实施威胁建模分析
6. 识别并验证安全措施

SEC02 如何管理人机接口和机机接口的身份认证？

1. 对账号进行保护
2. 安全的登录机制
3. 安全管理及使用凭证
4. 一体化身份管理

SEC03 如何管理人员和机器的权限？

1. 定义权限访问要求
2. 按需分配合适的权限
3. 定期审视权限
4. 安全共享资源

SEC04 如何进行网络安全设计？

1. 对网络划分区域
2. 控制网络流量的访问
3. 网络访问权限最小化

SEC05 如何进行运行环境的安全设计？

1. 云服务安全配置
2. 实施漏洞管理
3. 减少资源的攻击面
4. 密钥安全管理
5. 证书安全管理
6. 使用托管云服务

SEC06 如何进行应用程序安全设计？

1. 安全合规使用开源软件
2. 建立安全编码规范
3. 实行代码白盒检视
4. 应用安全配置
5. 执行渗透测试

SEC07 如何进行数据安全设计？

1. 识别工作负载内的数据
2. 数据保护控制
3. 对数据操作实施监控
4. 静态数据的加密
5. 传输数据的加密

SEC08 如何进行数据隐私保护设计？

1. 明确隐私保护策略和原则
2. 主动通知数据主体
3. 数据主体的选择和同意
4. 数据收集合规性
5. 数据使用、留存和处置合规性
6. 向第三方披露个人数据合规性
7. 数据主体有权访问其个人隐私数据

SEC09 如何进行安全感知及威胁检测？

1. 实施标准化管理日志
2. 安全事件记录及分析
3. 实施安全审计
4. 安全态势感知

SEC10 如何进行安全事件的响应？

1. 建立安全响应团队
2. 制定事件响应计划
3. 自动化响应安全事件
4. 安全事件演练
5. 建立复盘机制