1

概述与目标定义

说明评估目标：验证数据保护技术与合规控制是否满足PDPO及企业策略。
小分段：定义范围（例如：数据库、对象存储、日志）；列出关键资产与合规要求。

2

香港法规与行业标准梳理

步骤：列出适用法规（PDPO）、监管要求与参考标准（ISO27001、SOC2、CSA STAR）。
小分段：为每项法规标注具体条款与证明材料需求（例：数据主体权利、跨境传输限制）。

3

准备工作与权限申请

步骤：建立评估清单、向云厂商申请只读控制台访问或审计报表权限。
小分段：获取SOC/ISO合规包、DPA样本、KMS策略文档；为渗透或扫描申请书面授权。

4

数据分类与流向绘制

步骤：列出所有数据类型并标注敏感级别，绘制数据流图（进出点、第三方、日志路径）。
小分段：使用模板（CSV或Excel）记录字段、业务目录、存储位置与保留策略。

5

身份与访问管理(IAM)核查

步骤：检查账号策略、MFA、服务账号权限并执行访问复核。
小分段：导出IAM策略列表，运行“最小权限检查”：查找过宽角色、未启用MFA的账号并逐一修正。

6

加密与密钥管理验证

步骤：验证传输与静态数据加密是否开启、KMS配置与密钥轮换策略。
小分段：在控制台查看存储桶/磁盘加密状态；要求厂商提供CMK使用审计；验证是否支持客户管理密钥（BYOK）。

7

网络与边界防护测试

步骤：核验VPC、子网、ACL、负载均衡及WAF配置并测试端口暴露。
小分段：使用网络扫描器在授权范围内扫描公有IP；检查安全组规则与默认放行端口并收紧规则。

8

日志、监控与审计链检查

步骤：确认审计日志（访问、操作、KMS）是否开启、集中入SIEM并设置告警。
小分段：导出示例日志验证内容完整性与时间同步；检查日志保留期与不可篡改配置。

9

备份、保留与恢复演练

步骤：核实备份策略、加密、异地冗余并执行恢复演练以验证RTO/RPO。
小分段：随机选取备份点进行恢复测试、记录耗时并比较SLA目标，检查备份数据的访问控制与加密。

10

漏洞管理与渗透测试流程

步骤：检查补丁管理、漏洞扫描计划并安排授权渗透测试。
小分段：要求厂商提供最近扫描报告；在书面授权下执行外部/内部扫描，记录高危漏洞并验证修复流程。

11

第三方证明与合同审查

步骤：获取并验证SOC2/ISO证书与最近的审计报告，审查合同中DPA、SLA与跨境条款。
小分段：核对证书有效期、范围；确保合同中有数据泄露通报时限与赔偿条款。

12

事件响应与演练

步骤：评估厂商事件响应计划、演练记录及通讯链路，组织桌面演练。
小分段：制定事件脚本（数据泄露场景），演练通知流程、证据保全与恢复步骤并记录改进项。

13

实测报告与缺陷整改跟踪

步骤：汇总评估发现，依据风险等级提出整改建议并设定验收标准与时间线。
小分段：建立缺陷登记（Issue Tracker），分配责任人并定期回溯。

14

持续评估与治理建议

步骤：建议建立周期性复核（季度/半年度）、自动化合规检查与自助审计工具。
小分段：引入基线合规脚本、IAM与配置合规扫描器，生成定期报告给管理层。

15

问：如何验证供应商宣称的“加密在静态和传输中均启用”是真实的？

答：操作步骤：1) 在控制台查看存储与磁盘配置确认加密标志；2) 下载对象并检查HTTP响应头或元数据是否显示加密算法；3) 请求KMS审计日志以验证加密和解密事件；4) 如支持BYOK，验明是否可以使用客户密钥进行加密测试。

16

问：如果云厂商只提供有限的审计访问，我如何进行合规证明？

答：操作步骤：1) 索取最新的SOC/ISO审计包及独立审计声明；2) 要求输出供应商侧的审计导出（日志摘要、KMS使用记录）；3) 在合同中加入第三方审计条款与定期透明报告义务。

17

问：评估后发现重大安全缺陷，应如何与供应商协作推动整改？

答：操作步骤：1) 立即标记为高危并书面通知供应商；2) 依据合同启动SLA内的修复时限与应急措施；3) 协同制定临时缓解（例如流量限制、隔离受影响实例）；4) 完成修复后执行复测并记录结果。

来源：安全合规视角 知名香港云服务器 在数据保护方面的成熟度评估