简答题

AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”，对于客户方设备运维工程师进入机房的授权流程为：客户方提供书面签章文件列明为申请授权指定的联系人、联络邮箱地址→AOXI公司建立邮件人及地址白名单→白名单中的联络人使用指定邮箱为每次需进入机房的工程师申请进入授权→OXI公司按邮代核实工程师本人信息，予以授权。客户方的邮件联络人和邮箱地址一旦进入AOXI公司白名单即永久有效请针对该情景依据GB/T22080-2016标准阐述你的审核思路。

使用微信搜索喵呜刷题，轻松应对考试！

答案：

从两方面审核该公司的控制情况。第一方面：访问控制A9.1.1。 1、组织是否制定了物理机房的访问控制策略； 2、策略包含的内容是否齐全？应包括：业务应用的安全要求、相关法律和合同的要求、访问权的管理、控制角色的分离是否正确、访问权的定期评审、访问权的取消、用户身份的秘密鉴别是否到位等内容。 3、题目中描述的确认流程是否经过评审； 4、机房访问用户许可变更和由管理员启动的用户评可变更的程序是否可行；第二方面：物理入口控制A11.1.2。 1、查公司是否验证所授权访问程度是否与策略相适宜，是否考虑了职责分离之类的其他要求相一致。综上描述，在查公司访问控制授权白名单是发现，授权名单未考虑访问权的管理要求，不应永久有效，访问权未进行定期评审、未考虑访问权的取消、对白名单上的用户未实施鉴别。

解析：

【喵呜刷题小喵解析】：此题要求根据GB/T22080-2016标准，对AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”的授权流程进行审核。审核思路可以从两个方面展开：第一方面：访问控制A9.1.11. 访问控制策略：GB/T22080-2016标准中A9.1.1要求组织应制定物理机房的访问控制策略。因此，我们需要审核AOXI公司是否制定了这样的策略，并检查其内容是否齐全，包括业务应用的安全要求、相关法律和合同的要求、访问权的管理、控制角色的分离、访问权的定期评审、访问权的取消、用户身份的秘密鉴别等。2. 确认流程：题目描述的确认流程是否经过评审，以确保流程符合访问控制策略的要求。3. 用户许可变更程序：A9.1.1还涉及机房访问用户许可变更和由管理员启动的用户评可变更的程序。我们需要审核这个程序是否可行，是否符合访问控制策略。第二方面：物理入口控制A11.1.21. 职责分离：GB/T22080-2016标准中A11.1.2要求组织应验证所授权访问程度是否与策略相适宜，并考虑职责分离之类的其他要求。因此，我们需要审核AOXI公司是否做到这一点，即验证所授权访问程度是否与策略相适宜，并考虑职责分离之类的其他要求。综上，审核过程中发现，AOXI公司的授权白名单未考虑访问权的管理要求，不应永久有效，访问权未进行定期评审、未考虑访问权的取消、对白名单上的用户未实施鉴别。这些问题都需要AOXI公司根据GB/T22080-2016标准进行相应的改进和调整。

创作类型：

原创

本文链接：AOXI公司面向签约客户提供“数据中心机房基础设施运营服务”，对于客户方设备运维工程师进入机房的授权

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！