信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法 征求意見稿

1GB/T34942—XXXX信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法本文件給出了依據(jù)GB/T31168—2023《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》開展評(píng)估的原則、實(shí)施過程以及針對(duì)各項(xiàng)具體安全要求進(jìn)行評(píng)估的方法。本文件適用于第三方評(píng)估機(jī)構(gòu)對(duì)云服務(wù)商提供云計(jì)算服務(wù)時(shí)具備的安全能力進(jìn)行評(píng)估，云服務(wù)商在進(jìn)行自評(píng)估時(shí)也可參考。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T31167—2023信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T31168—2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T37972—2019信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架3術(shù)語和定義GB/T25069、GB/T31167—2023和GB/T31168—2023界定的以及下列術(shù)語和定義適用于本文件。為便于使用，重復(fù)列出了部分術(shù)語和定義。云計(jì)算cloudcomputing通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬資源池，并按需自助獲取和管理的模式。[來源：GB/T31168—2023，3.1]注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟3.2云計(jì)算服務(wù)cloudcomputingservice使用定義的接口，借助云計(jì)算（3.1）提供一種或多種資源的能力。[來源：GB/T31168—2023，3.2]3.3云服務(wù)商cloudserviceprovider提供云計(jì)算服務(wù)（3.2）的參與方。[來源：GB/T31168—2023，3.3]3.4云服務(wù)客戶cloudservicecustomer為使用云計(jì)算服務(wù)（3.2）而處于一定業(yè)務(wù)關(guān)系中的參與方。[來源：GB/T31168—2023，定義3.4]2GB/T34942—XXXX3.5第三方評(píng)估機(jī)構(gòu)thirdpartyassessmentorganization(3PAO）獨(dú)立于云計(jì)算服務(wù)提供方和使用方的專業(yè)評(píng)估機(jī)構(gòu)。[來源：GB/T31167—2023，3.6]3.6云計(jì)算平臺(tái)cloudcomputingplatform云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。[來源：GB/T31167—2023，3.8]3.7外部信息系統(tǒng)ExternalInformationSystem云計(jì)算平臺(tái)之外的信息系統(tǒng)。[來源：GB/T31168—2023，3.9]3.8評(píng)估活動(dòng)assessmentactivity評(píng)估過程中的一組任務(wù)。3.9評(píng)估方法assessmentmethod評(píng)估過程中使用的一般描述的操作邏輯序列。3.10評(píng)估人員assessmentperson執(zhí)行評(píng)估活動(dòng)的個(gè)人。4縮略語API：應(yīng)用程序編程接口（applicationprogramminginterface）CPU：中央處理單元（centralprocessingunit）DDoS：分布式拒絕服務(wù)（distributeddenialofservice）Hypervisor：虛擬機(jī)監(jiān)視器（virtualmachinemonitor）SLA：服務(wù)水平協(xié)議（service-levelagreement）USB：通用串行總線（universalserialbus）VPC：虛擬私有云（virtualprivatecloud）VPN：虛擬專用網(wǎng)（virtualprivatenetwork）5概述5.1評(píng)估原則第三方評(píng)估機(jī)構(gòu)在評(píng)估時(shí)應(yīng)遵循客觀公正、可重用、可重復(fù)和可再現(xiàn)、靈活、最小影響及保密的原客觀公正是指第三方評(píng)估機(jī)構(gòu)在評(píng)估活動(dòng)中應(yīng)充分收集證據(jù)，對(duì)云計(jì)算服務(wù)安全措施的有效性和云計(jì)算平臺(tái)的安全性做出客觀公正的判斷。3GB/T34942—XXXX可重用是指在適用的情況下，第三方評(píng)估機(jī)構(gòu)對(duì)云計(jì)算平臺(tái)中使用的系統(tǒng)、組件或服務(wù)等參考其已有的評(píng)估結(jié)果?？芍貜?fù)和可再現(xiàn)是指在相同的環(huán)境下，不同的評(píng)估人員依照同樣的要求，使用同樣的方法，對(duì)每個(gè)評(píng)估實(shí)施過程的重復(fù)執(zhí)行都應(yīng)得到同樣的評(píng)估結(jié)果。靈活是指在云服務(wù)商進(jìn)行安全措施裁剪、替換等情況下，第三方評(píng)估機(jī)構(gòu)應(yīng)根據(jù)具體情況制定評(píng)估用例并進(jìn)行評(píng)估。最小影響是指第三方評(píng)估機(jī)構(gòu)在評(píng)估時(shí)盡量小地影響云服務(wù)商現(xiàn)有業(yè)務(wù)和系統(tǒng)的正常運(yùn)行，最大程度降低對(duì)云服務(wù)商的風(fēng)險(xiǎn)。保密原則是指第三方評(píng)估機(jī)構(gòu)應(yīng)對(duì)涉及云服務(wù)商利益的商業(yè)信息以及云服務(wù)客戶信息等嚴(yán)格保密。5.2評(píng)估內(nèi)容第三方評(píng)估機(jī)構(gòu)依據(jù)國家相關(guān)規(guī)定和GB/T31168—2023，主要對(duì)系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通信保護(hù)、訪問控制、數(shù)據(jù)保護(hù)、配置管理、維護(hù)管理、應(yīng)急響應(yīng)、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等安全措施實(shí)施情況進(jìn)行評(píng)估。第三方評(píng)估機(jī)構(gòu)在開展安全評(píng)估工作中宜綜合采用訪談、檢查和測(cè)試等基本評(píng)估方法，以核實(shí)云服務(wù)商的云計(jì)算服務(wù)安全能力是否達(dá)到了一般安全能力、增強(qiáng)安全能力或高級(jí)安全能力。在評(píng)估增強(qiáng)要求時(shí)，一般要求應(yīng)首先得到滿足，在評(píng)估高級(jí)要求時(shí)，一般要求和增強(qiáng)要求應(yīng)首先得到滿足。訪談是指評(píng)估人員對(duì)云服務(wù)商等相關(guān)人員進(jìn)行談話的過程，對(duì)云計(jì)算服務(wù)安全措施實(shí)施情況進(jìn)行了解、分析和取得證據(jù)。訪談的對(duì)象為個(gè)人或團(tuán)體，例如：信息安全的第一負(fù)責(zé)人、人事管理相關(guān)人員、系統(tǒng)安全負(fù)責(zé)人、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、賬號(hào)管理員、安全管理員、安全審計(jì)員、維護(hù)人員、系統(tǒng)開發(fā)人員、物理安全負(fù)責(zé)人和用戶等。檢查是指評(píng)估人員通過對(duì)管理制度、安全策略和機(jī)制、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行觀察、查驗(yàn)、分析以幫助評(píng)估人員理解、分析和取得證據(jù)的過程。檢查的對(duì)象為規(guī)范、機(jī)制和活動(dòng)，例如：評(píng)審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設(shè)計(jì)文檔和接口規(guī)范；觀測(cè)系統(tǒng)的備份操作；審查應(yīng)急響應(yīng)演練結(jié)果；觀察事件處理活動(dòng)；研究設(shè)計(jì)說明書等技術(shù)手冊(cè)和用戶/管理員文檔；查看、研究或觀察信息系統(tǒng)的硬件/軟件中信息技術(shù)機(jī)制的運(yùn)行；查看、研究或觀察信息系統(tǒng)運(yùn)行相關(guān)的物理安全措施等。測(cè)試是指評(píng)估人員進(jìn)行技術(shù)測(cè)試（包括滲透測(cè)試通過人工或自動(dòng)化安全測(cè)試工具獲得相關(guān)信息，并進(jìn)行分析以幫助評(píng)估人員獲取證據(jù)的過程。測(cè)試的對(duì)象為機(jī)制和活動(dòng)，例如：訪問控制、身份鑒別和驗(yàn)證、審計(jì)機(jī)制；測(cè)試安全配置設(shè)置，測(cè)試物理訪問控制設(shè)備；進(jìn)行信息系統(tǒng)的關(guān)鍵組成部分的滲透測(cè)試，測(cè)試信息系統(tǒng)的備份操作；測(cè)試事件處理能力、應(yīng)急響應(yīng)演練能力等。5.3評(píng)估證據(jù)評(píng)估證據(jù)是指對(duì)評(píng)估結(jié)果起到佐證作用的任何實(shí)體，包括但不限于各種文檔、圖片、錄音、錄像、實(shí)物等，其載體可以是任何能夠保存的形式，包括但不限于紙質(zhì)的、電子的等。證據(jù)是在評(píng)估活動(dòng)的過程中篩選或生成而來。所有評(píng)估活動(dòng)產(chǎn)生的結(jié)果都應(yīng)有相應(yīng)的證據(jù)支持。證據(jù)應(yīng)得到妥善保管，以防止篡改、泄密、損壞、丟失等有損證據(jù)的行為。5.4評(píng)估實(shí)施過程評(píng)估實(shí)施過程主要包括：評(píng)估準(zhǔn)備、方案編制、現(xiàn)場(chǎng)實(shí)施和分析評(píng)估四個(gè)階段，與云服務(wù)商的溝通與洽談貫穿整個(gè)過程，評(píng)估實(shí)施過程見圖1。4接收并審核《云計(jì)算服務(wù)系接收并審核《云計(jì)算服務(wù)系據(jù)、評(píng)估進(jìn)度等信息組建評(píng)估實(shí)施團(tuán)隊(duì)審核證據(jù)形成測(cè)試用例溝通與洽談風(fēng)險(xiǎn)分析在評(píng)估準(zhǔn)備階段，第三方評(píng)估機(jī)構(gòu)應(yīng)接收云服務(wù)商提交的《系統(tǒng)安全計(jì)劃》,從內(nèi)容完整性和準(zhǔn)確性等方面審核《系統(tǒng)安全計(jì)劃》,審核通過后，第三方評(píng)估機(jī)構(gòu)與云服務(wù)商溝通被測(cè)對(duì)象、擬提供的證據(jù)、評(píng)估進(jìn)度等相關(guān)信息，并組建評(píng)估實(shí)施團(tuán)隊(duì)。在方案編制階段，第三方評(píng)估機(jī)構(gòu)應(yīng)確定評(píng)估對(duì)象、評(píng)估內(nèi)容和評(píng)估方法，并根據(jù)需要選擇、調(diào)整、開發(fā)和優(yōu)化測(cè)試用例，形成相應(yīng)安全評(píng)估方案。此階段根據(jù)具體情況，可能還需要進(jìn)行現(xiàn)場(chǎng)調(diào)研，主要目的是：確定評(píng)估邊界和范圍，了解云服務(wù)商的系統(tǒng)運(yùn)行狀況、安全機(jī)構(gòu)、制度、人員等現(xiàn)狀，以便制定安全評(píng)估方案。5GB/T34942—XXXX在現(xiàn)場(chǎng)實(shí)施階段，第三方評(píng)估機(jī)構(gòu)主要依據(jù)《系統(tǒng)安全計(jì)劃》等文檔，針對(duì)系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通信保護(hù)、訪問控制、數(shù)據(jù)保護(hù)、配置管理、維護(hù)管理、應(yīng)急響應(yīng)、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面的安全措施實(shí)施情況進(jìn)行評(píng)估。該階段主要由云服務(wù)商提供安全措施實(shí)施的證據(jù)，第三方評(píng)估機(jī)構(gòu)審核證據(jù)并根據(jù)需要進(jìn)行測(cè)試。必要時(shí)，應(yīng)要求云服務(wù)商補(bǔ)充相關(guān)證據(jù)，雙方對(duì)現(xiàn)場(chǎng)實(shí)施結(jié)果進(jìn)行確認(rèn)。在分析評(píng)估階段，第三方評(píng)估機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)實(shí)施階段所形成的證據(jù)進(jìn)行分析，首先給出對(duì)每項(xiàng)安要求的判定結(jié)果。在GB/T31168—2023的5.6中，云服務(wù)商安全要求實(shí)現(xiàn)情況包括：滿足、部分滿足、替代滿足、計(jì)劃滿足、不滿足和不適用。第三方評(píng)估機(jī)構(gòu)在判定時(shí)，計(jì)劃滿足視為不滿足，替代滿足視為滿足。第三方評(píng)估機(jī)構(gòu)在判定是否滿足適用的安全要求時(shí)，如有測(cè)試和檢查，原則上測(cè)試結(jié)果和檢查結(jié)果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測(cè)試有檢查，原則上檢查結(jié)果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測(cè)試無檢查，訪談結(jié)果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。然后進(jìn)行綜合評(píng)估，根據(jù)對(duì)每項(xiàng)安全要求的判定結(jié)果，參照相關(guān)國家標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，最后綜合各項(xiàng)評(píng)估結(jié)果形成安全評(píng)估報(bào)告，給出是否達(dá)到GB/T31168—2023相應(yīng)能力要求的評(píng)估結(jié)論。注：替代滿足指云服務(wù)商采取的安全措施不滿足對(duì)應(yīng)要求項(xiàng)，但實(shí)現(xiàn)效果取安全措施以滿足對(duì)應(yīng)安全要求，并明確了進(jìn)度安排以及在此期間的風(fēng)險(xiǎn)管控型、服務(wù)模式、部署模式及客戶需求的不同，GB/T31168—2023的某項(xiàng)或某些項(xiàng)安全要求在云服務(wù)商通過安全評(píng)估后，并與客戶簽訂合同提供服務(wù)時(shí)，第三方評(píng)估機(jī)構(gòu)也可按照相關(guān)規(guī)定、客戶委托或其它情況積極參與和配合運(yùn)行監(jiān)管工作，具體實(shí)施應(yīng)參照GB/T31167—2023及GB/T37972—2019運(yùn)行監(jiān)管相關(guān)規(guī)定。5.5綜合評(píng)估綜合評(píng)估是在得出單項(xiàng)要求判定結(jié)果后進(jìn)行。單項(xiàng)要求的判定結(jié)果為滿足、部分滿足、不滿足和不適用其中之一。對(duì)于單項(xiàng)要求為不適用的，第三方評(píng)估機(jī)構(gòu)應(yīng)參照GB/T31168—2023附錄B給出的不同云能力類型下不適用項(xiàng)的識(shí)別原則進(jìn)行統(tǒng)一判斷。對(duì)于單項(xiàng)要求中涉及到賦值和選擇的，第三方評(píng)估機(jī)構(gòu)應(yīng)結(jié)合云服務(wù)商具體應(yīng)用場(chǎng)景，判斷其賦值和選擇是否合理。得出單項(xiàng)要求判定結(jié)果后，第三方評(píng)估機(jī)構(gòu)對(duì)每一類安全要求中，所有單項(xiàng)要求為“滿足”之外其他判定結(jié)果的要求項(xiàng)進(jìn)行關(guān)聯(lián)風(fēng)險(xiǎn)分析，得出該類安全要求所面臨的低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的分析結(jié)論。附錄A給出了每類安全要求中常見的脆弱性問題，在進(jìn)行風(fēng)險(xiǎn)分析識(shí)別脆弱性時(shí)可參考。注：高風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨特別嚴(yán)重?fù)p害，業(yè)務(wù)持續(xù)性可能全風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨嚴(yán)重?fù)p害，業(yè)務(wù)持續(xù)性可能全部或者部分中風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨損害，業(yè)務(wù)持續(xù)性可能部分中最后，第三方評(píng)估機(jī)構(gòu)根據(jù)風(fēng)險(xiǎn)項(xiàng)情況得出結(jié)論。對(duì)于存在高風(fēng)險(xiǎn)項(xiàng)的云服務(wù)，視為不滿足該等級(jí)安全能力要求。對(duì)于存在多個(gè)中風(fēng)險(xiǎn)項(xiàng)，且關(guān)聯(lián)分析后可能導(dǎo)致高風(fēng)險(xiǎn)的云服務(wù)，也視為不滿足該等級(jí)安全能力要求。對(duì)于不存在高風(fēng)險(xiǎn)項(xiàng)，多個(gè)中風(fēng)險(xiǎn)項(xiàng)關(guān)聯(lián)分析后也不導(dǎo)致高風(fēng)險(xiǎn)的云服務(wù)，視為滿足該等級(jí)安全能力要求。注：在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，需注意結(jié)合具體應(yīng)用場(chǎng)景等相關(guān)因素綜合分析，6GB/T34942—XXXX6系統(tǒng)開發(fā)與供應(yīng)鏈安全評(píng)估方法6.1資源分配6.1.1一般要求6.1.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.1.1的a）和b）。6.1.1.2評(píng)估方法6.1.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有確定并分配為保護(hù)信息系統(tǒng)和服務(wù)所需資源（如有關(guān)資金、場(chǎng)地、人力等）的要求；——訪談網(wǎng)絡(luò)安全的第一責(zé)任人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其保護(hù)信息系統(tǒng)和服務(wù)所需資源的落實(shí)情況；——檢查工作計(jì)劃、預(yù)算管理過程文檔，查看其是否有保護(hù)信息系統(tǒng)和服務(wù)所需資源（如有關(guān)資金、場(chǎng)地、人力等）的內(nèi)容。6.1.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在工作計(jì)劃或預(yù)算文件中，將網(wǎng)絡(luò)安全作為單列項(xiàng)予以考慮的要求；——檢查工作計(jì)劃或預(yù)算文件，查看其是否將網(wǎng)絡(luò)安全作為單列項(xiàng)予以說明。6.1.2增強(qiáng)要求6.1.3高級(jí)要求6.2系統(tǒng)生命周期6.2.1一般要求6.2.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.2.1的a）、b）、c）和d）。6.2.1.2評(píng)估方法6.2.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期，如規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢止階段等；是否將網(wǎng)絡(luò)安全納入所定義的系統(tǒng)生命周期；——訪談網(wǎng)絡(luò)安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其安全措施同步規(guī)劃、同步建設(shè)、同步運(yùn)行的情況；——檢查云服務(wù)商定義的系統(tǒng)生命周期中的各階段相關(guān)文檔（如系統(tǒng)設(shè)計(jì)方案、上線前測(cè)試報(bào)告、試運(yùn)行報(bào)告等查看其是否明確提出信息系統(tǒng)和服務(wù)的安全需求，以確保安全措施同步規(guī)劃、同步建設(shè)、同步運(yùn)行。6.2.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有明確整個(gè)信息系統(tǒng)生命周期內(nèi)網(wǎng)絡(luò)安全角色和責(zé)任的要求，是否有將網(wǎng)絡(luò)安全角色明確至相應(yīng)責(zé)任人的要求；——檢查信息系統(tǒng)生命周期各階段的相關(guān)文檔，查看其是否明確提出各階段的信息安全角色和責(zé)任，是否將各階段的信息安全角色明確至相應(yīng)責(zé)任人。6.2.1.2.3對(duì)c）的評(píng)估方法為：7GB/T34942—XXXX——檢查系統(tǒng)生命周期各階段開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有將信息安全風(fēng)險(xiǎn)管理過程集成到系統(tǒng)生命周期活動(dòng)中的要求；——檢查信息系統(tǒng)生命周期各階段相關(guān)文檔，查看其是否有信息安全風(fēng)險(xiǎn)管理內(nèi)容，查看其是否有相應(yīng)風(fēng)險(xiǎn)評(píng)估報(bào)告；——訪談網(wǎng)絡(luò)安全的第一責(zé)任人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其在系統(tǒng)生命周期的各階段中信息安全風(fēng)險(xiǎn)管理情況。6.2.1.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否在設(shè)計(jì)階段制定安全策略和措施；——檢查系統(tǒng)建設(shè)階段相關(guān)文檔，查看其是否實(shí)施分層保護(hù)，是否劃定物理和邏輯安全邊界等。6.2.2增強(qiáng)要求6.2.3高級(jí)要求6.3采購過程6.3.1一般要求6.3.1.1評(píng)估內(nèi)容詳見GB/T31168—2023的6.3.1的a）、b）和c）。6.3.1.2評(píng)估方法6.3.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有根據(jù)相關(guān)法律、法規(guī)、政策和標(biāo)準(zhǔn)的要求，以及可能的客戶需求，并在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，將安全功能要求、安全強(qiáng)度要求、安全保障要求、安全相關(guān)文檔要求、保密要求、開發(fā)環(huán)境和預(yù)期運(yùn)行環(huán)境描述、驗(yàn)收準(zhǔn)則、強(qiáng)制配置要求等內(nèi)容列入采購合同或其他文件的要求；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否收集和整理相關(guān)的法律、法規(guī)、政策和標(biāo)準(zhǔn)要求，并形成合規(guī)文件清單；——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其在擬定采購合同之前，是否已充分考慮合規(guī)文件清單、可能的客戶需求，以及相關(guān)的風(fēng)險(xiǎn)評(píng)估結(jié)果；——檢查采購合同或其他文件，查看其是否包含所要求的內(nèi)容。6.3.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有與供應(yīng)商簽訂協(xié)議，明確安全和保密義務(wù)與責(zé)任，以及確保供應(yīng)鏈安全事件信息或威脅信息能夠及時(shí)傳達(dá)到供應(yīng)鏈上的有關(guān)各方的要求；——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其是否明確安全和保密義務(wù)與責(zé)任，是否發(fā)生過供應(yīng)鏈安全事件信息，是否將供應(yīng)鏈安全事件信息或威脅信息及時(shí)傳達(dá)到供應(yīng)鏈上的有關(guān)各方；——檢查采購合同或已簽訂的協(xié)議，查看其是否包含所要求的內(nèi)容；——檢查安全事件報(bào)告或事件處置單等相關(guān)記錄（適用于發(fā)生過供應(yīng)鏈安全事件查看是否將供應(yīng)鏈安全事件信息或威脅信息及時(shí)傳達(dá)到供應(yīng)鏈上的有關(guān)各方。6.3.1.2.3對(duì)c）的評(píng)估方法為：——檢查與供應(yīng)商簽訂的服務(wù)水平協(xié)議和相關(guān)云服務(wù)或云產(chǎn)品的可用性指標(biāo)，查看各類云服務(wù)或云產(chǎn)品的相關(guān)可用性指標(biāo)是否不低于擬與客戶所簽訂的服務(wù)水平協(xié)議中的相關(guān)指標(biāo)。8GB/T34942—XXXX6.3.2增強(qiáng)要求6.3.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.3.2的a）、b）、c）和d）。6.3.2.2評(píng)估方法6.3.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商對(duì)其使用的安全措施進(jìn)行功能描述或機(jī)制描述的內(nèi)容；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其有哪些信息系統(tǒng)、組件或服務(wù)由開發(fā)商開發(fā)，是否形成云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單；——檢查云服務(wù)商收到的對(duì)安全措施進(jìn)行功能描述或機(jī)制描述的文檔，查看開發(fā)商是否按要求進(jìn)行了描述。6.3.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商定義使用的系統(tǒng)工程方法、軟件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程等保障系統(tǒng)開發(fā)過程質(zhì)量的內(nèi)容，是否有要求開發(fā)商提供系統(tǒng)開發(fā)過程質(zhì)量保障相關(guān)證據(jù)的內(nèi)容；——檢查云服務(wù)商收到的證據(jù)，查看該證據(jù)是否足以證明開發(fā)商使用了所定義的系統(tǒng)工程方法、軟件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程等。6.3.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商在交付信息系統(tǒng)、組件或服務(wù)時(shí)應(yīng)實(shí)現(xiàn)的安全配置，是否禁用不必要或高風(fēng)險(xiǎn)的功能、端口、協(xié)議或服務(wù)，是否有將這些安全配置作為信息系統(tǒng)、組件或服務(wù)在重新安裝或升級(jí)時(shí)的缺省配置的要求；——檢查開發(fā)商在交付、重新安裝或升級(jí)信息系統(tǒng)、組件或服務(wù)時(shí)使用的缺省安全配置文件和記錄等相關(guān)文檔，查看其是否符合云服務(wù)商定義的安全配置。6.3.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否制定了對(duì)安全措施有效性的持續(xù)監(jiān)控計(jì)劃；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其對(duì)安全措施有效性的持續(xù)監(jiān)控計(jì)劃的實(shí)施情況；——檢查云服務(wù)商收到的證據(jù)，查看該證據(jù)是否足以證明云服務(wù)商對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)控。6.3.3高級(jí)要求6.4系統(tǒng)文檔6.4.1一般要求6.4.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.4.1的a）、b）、c）和d）。6.4.1.2評(píng)估方法6.4.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單中的管理員文檔；——檢查管理員文檔，查看其是否涵蓋以下信息：9GB/T34942—XXXX1）信息系統(tǒng)、組件或服務(wù)的安全配置，以及安裝和運(yùn)行說明；2）安全特性或功能的使用和維護(hù)說明；3）與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。6.4.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單中的云產(chǎn)品使用文檔，以供用戶使用；——檢查云產(chǎn)品使用文檔，查看其是否涵蓋以下信息：1）用戶可使用的安全功能或機(jī)制，以及對(duì)如何有效使用這些安全功能或機(jī)制的說明；2）有助于用戶更安全地使用信息系統(tǒng)、組件或服務(wù)的方法或說明；3）對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明。6.4.1.2.3對(duì)c）的評(píng)估方法為：——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否將開發(fā)商提供的系統(tǒng)配置類文檔和云產(chǎn)品使用文檔作為重要資產(chǎn)予以識(shí)別，并按照風(fēng)險(xiǎn)管理策略進(jìn)行保護(hù)；——檢查風(fēng)險(xiǎn)管理相關(guān)文檔，查看其是否已識(shí)別和保護(hù)系統(tǒng)配置類文檔和云產(chǎn)品使用文檔。6.4.1.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了文檔分發(fā)的人員或角——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其開發(fā)商提供的管理員文檔和用戶文檔的分發(fā)范圍，驗(yàn)證其是否明確到人員或角色；——訪談所定義的人員或角色，詢問其是否已接收到相關(guān)文檔；——檢查分發(fā)記錄，查看其是否按照所定義的人員或角色分發(fā)文檔。6.4.2增強(qiáng)要求6.4.3高級(jí)要求6.5關(guān)鍵性分析6.5.1一般要求6.5.2增強(qiáng)要求6.5.2.1評(píng)估內(nèi)容詳見GB/T31168—2023的6.5.2。6.5.2.2評(píng)估方法6.5.2.2.1評(píng)估方法如下：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期中的決策點(diǎn)，是否定義了在該決策點(diǎn)進(jìn)行關(guān)鍵性分析的信息系統(tǒng)、組件或服務(wù)，以確定關(guān)鍵信息系統(tǒng)組件和功能；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其進(jìn)行關(guān)鍵性分析的情況，是否分析了該功能或組件失效對(duì)系統(tǒng)業(yè)務(wù)的影響；——檢查關(guān)鍵性分析報(bào)告等相關(guān)文檔，查看其關(guān)鍵性分析的時(shí)間點(diǎn)與云服務(wù)商定義的系統(tǒng)生命周期中的決策點(diǎn)是否一致；——檢查系統(tǒng)設(shè)計(jì)說明書、關(guān)鍵性分析報(bào)告等相關(guān)文檔，查看其是否有關(guān)鍵信息系統(tǒng)組件和功能清GB/T34942—XXXX6.5.3高級(jí)要求6.6外部服務(wù)6.6.1一般要求6.6.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.6.1的a）、b）、c）和d）。6.6.1.2評(píng)估方法6.6.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求外部服務(wù)（如電信服務(wù)、安全運(yùn)維、安保服務(wù)、安全測(cè)評(píng)、安全監(jiān)測(cè)等）提供商遵從并實(shí)施云服務(wù)商安全要求的內(nèi)容；——訪談信息安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否有外部服務(wù)提供商清單，以及外部服務(wù)提供商遵從并實(shí)施云服務(wù)商的安全要求的情況；——檢查外部服務(wù)提供商清單、外部服務(wù)提供商管理規(guī)定等相關(guān)文檔，查看其是否有相關(guān)要求。6.6.1.2.2對(duì)b）的評(píng)估方法為：——檢查與外部服務(wù)提供商的服務(wù)合同等相關(guān)文檔，查看其是否明確了外部服務(wù)提供商的安全分工與責(zé)任，是否要求外部服務(wù)提供商接受相關(guān)客戶監(jiān)督；——訪談信息安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其外部服務(wù)提供商的安全分工與責(zé)任，以及外部服務(wù)提供商接受相關(guān)客戶監(jiān)督的情況。6.6.1.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)外部服務(wù)提供商提供的安全措施合規(guī)性進(jìn)行持續(xù)監(jiān)控的具體過程、方法和技術(shù)；——檢查對(duì)外部服務(wù)提供商提供的安全措施合規(guī)性進(jìn)行持續(xù)監(jiān)控的計(jì)劃和報(bào)告，查看其是否按照所定義的過程、方法和技術(shù)對(duì)外部服務(wù)提供商提供的安全措施的合規(guī)性進(jìn)行了持續(xù)監(jiān)控；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否具備足夠資源（技術(shù)、人力、場(chǎng)地等），以滿足對(duì)外部服務(wù)提供商提供的安全措施的合規(guī)性進(jìn)行持續(xù)監(jiān)控的需求。6.6.1.2.4對(duì)d）的評(píng)估方法為：——檢查對(duì)外部服務(wù)提供商的審查報(bào)告和資質(zhì)資格證明文件，查看其是否有歷史合作記錄或其資質(zhì)滿足云服務(wù)商所定義的可信賴的條件；——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其是否在篩選外部服務(wù)提供商時(shí)，根據(jù)其資質(zhì)情況和歷史合作記錄進(jìn)行過篩查審核。6.6.2增強(qiáng)要求6.6.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.6.2的a）、b）、c）、d）、e）和f）。6.6.2.2評(píng)估方法6.6.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了擬采購或外包的安全服務(wù)（如應(yīng)急保障服務(wù)等），是否要求針對(duì)該安全服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其在采購或外包安全服務(wù)之前，是否對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估；——檢查風(fēng)險(xiǎn)評(píng)估報(bào)告，查看其是否按要求進(jìn)行了風(fēng)險(xiǎn)評(píng)估。6.6.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了批準(zhǔn)擬采購或外包安全GB/T34942—XXXX服務(wù)的安全責(zé)任部門以及相關(guān)人員或角色；——檢查審批記錄，查看其是否由所定義的安全責(zé)任部門以及相關(guān)人員或角色予以批準(zhǔn)。6.6.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了外部服務(wù)，是否要求外部服務(wù)提供商以文檔形式具體說明該外部服務(wù)涉及的功能、端口、協(xié)議和其他服務(wù)；——檢查外部服務(wù)提供商提供的說明文檔，查看其是否對(duì)所定義的外部服務(wù)涉及的功能、端口、協(xié)議和其他服務(wù)予以說明。6.6.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了用于保持與外部服務(wù)提供商的信任關(guān)系的安全要求、屬性、因素或者其他條件，例如外部服務(wù)提供商已獲得的各類資質(zhì)、與云服務(wù)商存在戰(zhàn)略合作或投資關(guān)系等；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其保持與外部服務(wù)提供商信任關(guān)系的方法，查看該方法是否屬于所定義的安全要求、屬性、因素或者其他條件。6.6.2.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否根據(jù)評(píng)估情況定義了安全措施，以防止外部服務(wù)提供商損害本組織的利益，安全措施可以是：1）對(duì)外部服務(wù)提供商所提供的服務(wù)人員進(jìn)行人員背景審查，或要求外部服務(wù)提供商提供可信的人員背景審查結(jié)果；2）檢查外部服務(wù)提供商資本變更記錄；3）定期或不定期檢查外部服務(wù)提供商的設(shè)施。——檢查云服務(wù)商采取的安全措施的實(shí)施記錄等相關(guān)文檔，查看其是否實(shí)際實(shí)施；——訪談系統(tǒng)安全負(fù)責(zé)人、負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其針對(duì)不同外部服務(wù)提供商所采取的安全防護(hù)措施落實(shí)情況。6.6.2.2.6對(duì)f）的評(píng)估方法為：——檢查合同、系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了限制信息處理/信息或數(shù)據(jù)/信息系統(tǒng)服務(wù)地點(diǎn)的要求或條件；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其限制外部服務(wù)提供商信息處理、信息或數(shù)據(jù)存儲(chǔ)、信息系統(tǒng)服務(wù)地點(diǎn)的安全措施，查看其是否符合所定義的要求或條件。6.6.3高級(jí)要求6.7開發(fā)商安全體系架構(gòu)6.7.1一般要求6.7.2增強(qiáng)要求6.7.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.7.2的a）、b）和c）。6.7.2.2評(píng)估方法6.7.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定設(shè)計(jì)規(guī)范和安全架構(gòu)，是否要求該架構(gòu)符合下列條件：1）該架構(gòu)能夠清晰體現(xiàn)信息系統(tǒng)的安全防護(hù)、技術(shù)運(yùn)維和安全管理體系，并符合或支持云服GB/T34942—XXXX務(wù)商的整體安全架構(gòu)；2）準(zhǔn)確完整地描述了所需的安全功能，并為物理和邏輯組件分配了安全措施；3）說明各項(xiàng)安全功能、機(jī)制和服務(wù)如何協(xié)同工作，以提供完整一致的保護(hù)能力。——檢查云服務(wù)商收到的設(shè)計(jì)規(guī)范和安全架構(gòu)以及云服務(wù)商的安全架構(gòu)相關(guān)文檔，查看其是否符合上述1）、2）和3）的要求。6.7.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否有要求開發(fā)商提供云服務(wù)所需的與安全相關(guān)的硬件、軟件和固件的相關(guān)信息說明的內(nèi)容；——檢查云服務(wù)商收到的相關(guān)文檔，例如設(shè)計(jì)規(guī)范、管理員文檔等，查看其是否符合要求。6.7.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商編制非形式化的高層說明書，說明安全相關(guān)的硬件、軟件和固件的接口；是否要求開發(fā)商通過非形式化的證明，說明該高層說明書完全覆蓋了與安全相關(guān)的硬件、軟件和固件的接口；——檢查云服務(wù)商收到的非形式化高層說明書，查看其是否說明安全相關(guān)的硬件、軟件和固件的接——檢查云服務(wù)商收到的非形式化的證明文檔，查看其是否完全覆蓋了與安全相關(guān)的硬件、軟件和固件的接口。6.7.3高級(jí)要求6.8開發(fā)過程、標(biāo)準(zhǔn)和工具6.8.1一般要求6.8.2增強(qiáng)要求6.8.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.8.2的a）、b）、c）、d）、e）、f）、g）和h）。6.8.2.2評(píng)估方法6.8.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定開發(fā)規(guī)范，是否要求在開發(fā)規(guī)范中明確以下事項(xiàng)：1）所開發(fā)系統(tǒng)的安全需求；2）開發(fā)過程中使用的標(biāo)準(zhǔn)和工具；3）開發(fā)過程中使用的特定工具選項(xiàng)和工具配置；——檢查云服務(wù)商收到的開發(fā)規(guī)范，查看其是否明確了上述相應(yīng)事項(xiàng)。6.8.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否規(guī)定了檢查質(zhì)量度量標(biāo)準(zhǔn)落實(shí)情況的節(jié)點(diǎn)，是否要求開發(fā)商在開發(fā)過程的初始階段定義檢查質(zhì)量度量標(biāo)準(zhǔn)，是否要求在規(guī)定的節(jié)點(diǎn)檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況；——檢查云服務(wù)商收到的開發(fā)規(guī)范等相關(guān)文檔，查看開發(fā)商在開發(fā)過程的初始階段是否定義了質(zhì)量度量標(biāo)準(zhǔn)；——檢查云服務(wù)商收到的開發(fā)規(guī)范、設(shè)計(jì)文檔、測(cè)評(píng)文檔等相關(guān)文檔，查看其是否按要求落實(shí)了質(zhì)量度量標(biāo)準(zhǔn)；GB/T34942—XXXX——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)質(zhì)量管理的人員等相關(guān)人員，詢問其質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況。6.8.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商明確安全問題追蹤工具，是否要求開發(fā)商在開發(fā)過程期間使用；——檢查云服務(wù)商收到的安全問題追蹤清單及工具使用記錄，查看其是否按要求使用。6.8.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了對(duì)信息系統(tǒng)進(jìn)行威脅和脆弱性分析的廣度和深度；——檢查威脅和脆弱性分析報(bào)告等相關(guān)文檔，查看其是否按照所定義的廣度和深度對(duì)信息系統(tǒng)進(jìn)行威脅和脆弱性分析。6.8.2.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了信息系統(tǒng)、組件或服務(wù)的開發(fā)商執(zhí)行的漏洞分析工具，是否定義了工具的輸出和分析結(jié)果提交的人員和角色;——檢查漏洞分析記錄，查看開發(fā)商是否使用所定義的工具執(zhí)行漏洞分析，明確漏洞利用的可能性，確定漏洞消減措施；——訪談所定義的人員或角色，詢問其接收工具輸出和分析結(jié)果的情況。6.8.2.2.6對(duì)f）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商即使在交付信息系統(tǒng)、組件或服務(wù)后，也跟蹤漏洞情況。——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或安全管理員，詢問其信息系統(tǒng)、組件或服務(wù)的開發(fā)商是否在發(fā)布漏洞補(bǔ)丁前提前通知云服務(wù)商，且將漏洞補(bǔ)丁交由云服務(wù)商審查、驗(yàn)證并允許云服務(wù)商自行安裝?！獧z查云服務(wù)商收到的發(fā)布漏洞補(bǔ)丁的通知、漏洞補(bǔ)丁審查及安裝等相關(guān)記錄，查看其是否按照要求進(jìn)行通知、驗(yàn)證。6.8.2.2.7對(duì)g）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務(wù)的開發(fā)和測(cè)試環(huán)境使用生產(chǎn)數(shù)據(jù)時(shí)，先行批準(zhǔn)、記錄并進(jìn)行保護(hù)的相關(guān)內(nèi)容；——檢查云服務(wù)商使用生產(chǎn)數(shù)據(jù)的相關(guān)記錄，查看其是否按照要求進(jìn)行審批、記錄和保護(hù)。6.8.2.2.8對(duì)h）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定應(yīng)急預(yù)案?！獧z查云服務(wù)商應(yīng)急響應(yīng)計(jì)劃，查看其是否將信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定的應(yīng)急預(yù)案納入其中。6.8.3高級(jí)要求6.9開發(fā)過程配置管理6.9.1一般要求6.9.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.9.1的a）、b）、c）、d）和e）。6.9.1.2評(píng)估方法6.9.1.2.1對(duì)a）的評(píng)估方法為：GB/T34942—XXXX——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在信息系統(tǒng)、組件或服務(wù)的設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)或運(yùn)行過程中實(shí)施配置管理的內(nèi)容；——檢查云服務(wù)商收到的配置管理相關(guān)文檔，例如配置管理計(jì)劃，查看配置管理文檔是否涉及了設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)或運(yùn)行過程。6.9.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商需要記錄、管理和控制的配置項(xiàng)；是否要求形成基本配置信息庫；是否有要求開發(fā)商記錄、管理和控制配置項(xiàng)變更完整性的內(nèi)容；配置項(xiàng)包括但不限于：形式化模型、功能、高層設(shè)計(jì)說明書、低層設(shè)計(jì)說明書、其他設(shè)計(jì)數(shù)據(jù)、實(shí)施文檔、源代碼和硬件原理圖、目標(biāo)代碼的運(yùn)行版本、版本對(duì)比工具、測(cè)試設(shè)備和文檔；——檢查云服務(wù)商的基本配置信息庫，查看其配置項(xiàng)及配置信息是否符合要求；——檢查云服務(wù)商保存的配置項(xiàng)變更記錄，查看其所定義的配置項(xiàng)的變更記錄內(nèi)容是否缺失、記錄留存時(shí)間是否滿足管理要求。6.9.1.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商得到批準(zhǔn)后，才能對(duì)所提供的信息系統(tǒng)、組件或服務(wù)進(jìn)行配置項(xiàng)變更的內(nèi)容；——檢查云服務(wù)商收到的配置項(xiàng)變更記錄等相關(guān)文檔，例如配置項(xiàng)變更申請(qǐng)表，查看變更是否得到云服務(wù)商的批準(zhǔn)。6.9.1.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商記錄對(duì)信息系統(tǒng)、組件或服務(wù)的變更及其所產(chǎn)生的安全影響的內(nèi)容；——檢查云服務(wù)商收到的配置項(xiàng)變更記錄等相關(guān)文檔，查看其是否對(duì)變更產(chǎn)生的安全影響進(jìn)行了分——檢查云服務(wù)商的基本配置信息庫和收到的配置項(xiàng)變更記錄，查看其是否按照變更記錄及時(shí)更新了基本配置信息庫。6.9.1.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商跟蹤信息系統(tǒng)、組件或服務(wù)中的安全缺陷和解決方案的內(nèi)容；——檢查云服務(wù)商收到的安全缺陷跟蹤記錄和解決方案，查看其是否對(duì)安全缺陷進(jìn)行了跟蹤，并緩解或解決了安全缺陷。6.9.2增強(qiáng)要求6.9.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.9.2的a）、b）、c）和d）。6.9.2.2評(píng)估方法6.9.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供能夠驗(yàn)證軟件和固件組件完整性方法的內(nèi)容；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其驗(yàn)證軟件和固件組件完整性的方法；——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否對(duì)軟件和固件組件完整性驗(yàn)證方法進(jìn)行了詳細(xì)的說明。6.9.2.2.2對(duì)b）的評(píng)估方法為：GB/T34942—XXXX——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在沒有專用的開發(fā)商配置團(tuán)隊(duì)支持的情況下，由本組織的人員建立相應(yīng)配置管理流程的要求；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或配置管理相關(guān)人員，詢問其開發(fā)商配置管理團(tuán)隊(duì)和流程等情況，以及云服務(wù)商相應(yīng)的配置管理團(tuán)隊(duì)和流程等情況；——檢查云服務(wù)商的配置管理計(jì)劃等相關(guān)文檔，查看其是否在沒有專用的開發(fā)商配置團(tuán)隊(duì)支持的情況下，由云服務(wù)商的人員建立相應(yīng)配置管理流程。6.9.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供對(duì)硬件組件完整性驗(yàn)證方法（如防偽標(biāo)簽、可核查序列號(hào)、防篡改技術(shù)等）的內(nèi)容；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或維護(hù)人員等相關(guān)人員，詢問其驗(yàn)證硬件組件完整性的方法；——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否對(duì)硬件組件完整性進(jìn)行詳細(xì)的說明。6.9.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)過程中使用工具驗(yàn)證軟件或固件源代碼、目標(biāo)代碼的當(dāng)前版本與以往版本異同，以防止非授權(quán)更改的內(nèi)容；是否有要求開發(fā)商采取措施保證安全相關(guān)的硬件、軟件和固件的出廠版本與現(xiàn)場(chǎng)運(yùn)行版本一致，現(xiàn)場(chǎng)更新與開發(fā)商內(nèi)部版本一致的內(nèi)容；——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否詳細(xì)說明了防止非授權(quán)更改的驗(yàn)證方法；——檢查云服務(wù)商收到的對(duì)固件源代碼、目標(biāo)代碼的異同進(jìn)行驗(yàn)證的記錄文檔，查看開發(fā)商是否進(jìn)行了驗(yàn)證。6.9.3高級(jí)要求6.10開發(fā)商安全測(cè)試和評(píng)估6.10.1一般要求6.10.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.10.1的a）、b）、c）、d）和e）。6.10.1.2評(píng)估方法6.10.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商制定并實(shí)施安全評(píng)估計(jì)劃的內(nèi)容；——檢查云服務(wù)商收到的安全評(píng)估計(jì)劃，查看開發(fā)商是否按要求制定了安全評(píng)估計(jì)劃。6.10.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否選擇了實(shí)施安全測(cè)試或評(píng)估的過程，是否定義了在所選擇的過程中進(jìn)行安全測(cè)試或評(píng)估的深度和覆蓋面。6.10.1.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供安全評(píng)估計(jì)劃的實(shí)施證明材料和安全評(píng)估結(jié)果的內(nèi)容；——檢查云服務(wù)商收到的安全評(píng)估計(jì)劃、安全評(píng)估報(bào)告等相關(guān)文檔，查看開發(fā)商是否按照云服務(wù)商定義的深度和覆蓋面執(zhí)行相應(yīng)的測(cè)試或評(píng)估。6.10.1.2.4對(duì)d）的評(píng)估方法為：GB/T34942—XXXX——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商實(shí)施可驗(yàn)證的缺陷修復(fù)過程；——檢查云服務(wù)商收到的缺陷修復(fù)報(bào)告等相關(guān)文檔，查看開發(fā)商是否實(shí)施了可被驗(yàn)證的修復(fù)過程；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其缺陷修復(fù)過程及過程是否可被驗(yàn)證。6.10.1.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商更正在安全評(píng)估過程中發(fā)現(xiàn)的脆弱性和不足的內(nèi)容；——檢查云服務(wù)商收到的安全評(píng)估報(bào)告、缺陷修復(fù)報(bào)告等相關(guān)記錄，查看開發(fā)商是否更正了在安全評(píng)估過程中發(fā)現(xiàn)的脆弱性和不足。6.10.2增強(qiáng)要求6.10.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.10.2的a）、b）、c）、d）、e）、f）和g）。6.10.2.2評(píng)估方法6.10.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)階段使用靜態(tài)代碼分析工具識(shí)別常見缺陷以及記錄分析結(jié)果的內(nèi)容；——檢查云服務(wù)商收到的缺陷分析報(bào)告或記錄等相關(guān)文檔，查看開發(fā)商是否在開發(fā)階段使用靜態(tài)代碼分析工具識(shí)別常見缺陷。6.10.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商實(shí)施威脅和脆弱性分析，并測(cè)試或評(píng)估已開發(fā)完成的信息系統(tǒng)、組件或服務(wù)的內(nèi)容；——檢查云服務(wù)商收到的缺陷分析報(bào)告或記錄等相關(guān)文檔，查看開發(fā)商是否對(duì)威脅和脆弱性進(jìn)行了分析；——檢查云服務(wù)商收到的測(cè)試或評(píng)估報(bào)告，查看開發(fā)商是否對(duì)已開發(fā)完成的系統(tǒng)、組件或服務(wù)進(jìn)行了測(cè)試或評(píng)估。6.10.2.2.3對(duì)c）中條款1）2）的評(píng)估方法如下?！獙?duì)條款1）的評(píng)估方法為：檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求選擇第三方驗(yàn)證開發(fā)商實(shí)施安全評(píng)估計(jì)劃的正確性以及在安全測(cè)試或評(píng)估過程中產(chǎn)生的證據(jù)；檢查云服務(wù)商提供的第三方資質(zhì)證明、安全評(píng)估報(bào)告等相關(guān)材料，查看云服務(wù)商是否選擇第三方驗(yàn)證?！獙?duì)條款2）的評(píng)估方法為：檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)開發(fā)商進(jìn)行評(píng)估時(shí)，確保獨(dú)立第三方能夠獲得足夠的資料來完成驗(yàn)證過程，或已被授予獲得此類信息的訪問權(quán)限的要求；訪談系統(tǒng)安全負(fù)責(zé)人或獨(dú)立第三方等相關(guān)人員，詢問其獨(dú)立第三方對(duì)開發(fā)商進(jìn)行安全評(píng)估的情況；檢查云服務(wù)商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨(dú)立第三方完成驗(yàn)證過程，或已被授予獲得所需信息的訪問權(quán)限。6.10.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了代碼審查過程、規(guī)程或技術(shù)，是否定義了需實(shí)施代碼審查的特定代碼；是否要求開發(fā)商對(duì)所定義的特定代碼實(shí)施代碼審查；GB/T34942—XXXX——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其代碼審查情況；——檢查云服務(wù)商收到的代碼審查結(jié)果，查看開發(fā)商是否實(shí)施了代碼審查。6.10.2.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了滲透性測(cè)試的約束條件；是否定義了滲透性測(cè)試的廣度和深度；是否要求開發(fā)商按照所定義的約束條件，執(zhí)行符合要求的廣度和深度的滲透性測(cè)試；——檢查云服務(wù)商收到的滲透性測(cè)試報(bào)告，查看其是否按照所定義的約束條件以及廣度和深度執(zhí)行滲透性測(cè)試。6.10.2.2.6對(duì)f）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商分析所提供的硬件、軟件和固件容易受到攻擊的脆弱點(diǎn)的內(nèi)容；——檢查云服務(wù)商收到的脆弱點(diǎn)分析報(bào)告等相關(guān)文檔，查看開發(fā)商是否進(jìn)行了脆弱點(diǎn)分析，并對(duì)已開發(fā)完成的信息系統(tǒng)、組件或服務(wù)執(zhí)行測(cè)試或評(píng)估。6.10.2.2.7對(duì)g）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商驗(yàn)證安全措施測(cè)試或評(píng)估的廣度和深度，是否要求開發(fā)商驗(yàn)證安全措施測(cè)試或評(píng)估過程滿足所定義的廣度和深度要求；——檢查云服務(wù)商收到的測(cè)試或評(píng)估報(bào)告，查看其是否滿足云服務(wù)商定義的廣度和深度要求。6.10.3高級(jí)要求6.10.3.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.10.3的a）、b）、c）、d）。6.10.3.2評(píng)估方法6.10.3.2.1對(duì)a）中條款1）2）的評(píng)估方法如下?！獙?duì)條款1）的評(píng)估方法為：檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了第三方的獨(dú)立性準(zhǔn)則；是否要求選擇獨(dú)立第三方驗(yàn)證開發(fā)商實(shí)施安全評(píng)估計(jì)劃的正確性以及在安全測(cè)試或評(píng)估過程中產(chǎn)生的證據(jù)；檢查云服務(wù)商提供的第三方資質(zhì)證明等相關(guān)材料，查看云服務(wù)商是否按照所定義的獨(dú)立性準(zhǔn)則選擇第三方?！獙?duì)條款2）的評(píng)估方法為：6.10.3.2.2檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)開發(fā)商進(jìn)行評(píng)估時(shí)，確保獨(dú)立第三方能夠獲得足夠的資料來完成驗(yàn)證過程，或已被授予獲得此類信息的訪問權(quán)限的要求；訪談系統(tǒng)安全負(fù)責(zé)人或獨(dú)立第三方等相關(guān)人員，詢問其獨(dú)立第三方對(duì)開發(fā)商進(jìn)行安全評(píng)估的情況；檢查云服務(wù)商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨(dú)立第三方完成驗(yàn)證過程，或已被授予獲得所需信息的訪問權(quán)限。對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了人工代碼審查過程、規(guī)程或技術(shù)，是否定義了需實(shí)施人工代碼審查的特定代碼；是否要求開發(fā)商對(duì)所定義的特定代碼實(shí)施人工代碼審查；是否要求開發(fā)商提供易于理解的審查結(jié)果；是否要求云服務(wù)商使用通過開發(fā)商審查的代碼可重構(gòu)系統(tǒng)；GB/T34942—XXXX——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其人工代碼審查情況和系統(tǒng)重構(gòu)情況；——檢查云服務(wù)商收到的人工代碼審查結(jié)果，查看開發(fā)商是否實(shí)施了人工代碼審查。6.10.3.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在運(yùn)行階段使用動(dòng)態(tài)代碼分析工具識(shí)別常見缺陷，并記錄分析結(jié)果；——檢查云服務(wù)商收到的動(dòng)態(tài)代碼分析結(jié)果，查看開發(fā)商是否使用動(dòng)態(tài)代碼分析工具識(shí)別了常見缺陷并記錄了分析結(jié)果；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其動(dòng)態(tài)代碼分析工具情況。6.10.3.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在系統(tǒng)生命周期中采用技術(shù)手段對(duì)信息系統(tǒng)、組件或服務(wù)開展高彈性或高韌性測(cè)試；是否要求測(cè)試達(dá)到驗(yàn)證信息系統(tǒng)是否對(duì)故障異常情況具有較強(qiáng)的恢復(fù)能力和主動(dòng)識(shí)別并修復(fù)壓力環(huán)境下故障問題的效果；——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其高彈性或高韌性測(cè)試情——檢查云服務(wù)商收到的高彈性或高韌性測(cè)試報(bào)告，查看開發(fā)商是否進(jìn)行了相關(guān)測(cè)試，測(cè)試結(jié)果是否達(dá)到了驗(yàn)證信息系統(tǒng)對(duì)故障異常情況具有較強(qiáng)恢復(fù)能力，以及主動(dòng)識(shí)別并修復(fù)壓力環(huán)境下故障問題的效果。6.11開發(fā)商提供的培訓(xùn)6.11.1一般要求6.11.1.1評(píng)估內(nèi)容詳見GB/T31168—2023的6.11.1。6.11.1.2評(píng)估方法評(píng)估方法如下：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商提供的有助于正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制的培訓(xùn)；——訪談云服務(wù)商的維護(hù)人員等相關(guān)人員，詢問培訓(xùn)實(shí)施情況；——檢查培訓(xùn)記錄等相關(guān)文檔，查看開發(fā)商是否實(shí)施了所定義的培訓(xùn)。6.11.2增強(qiáng)要求6.11.3高級(jí)要求6.12組件真實(shí)性6.12.1一般要求6.12.2增強(qiáng)要求6.12.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.12.2的a）、b）、c）、d）、e）和f）。GB/T34942—XXXX6.12.2.2評(píng)估方法6.12.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有制定和實(shí)施防贗品策略與規(guī)程的要求，是否有檢測(cè)并防止贗品組件進(jìn)入信息系統(tǒng)的要求；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其檢測(cè)并防止贗品組件進(jìn)入信息系統(tǒng)的措施。6.12.2.2.2對(duì)b）的評(píng)估方法為：——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否有向正品廠商、相關(guān)外部機(jī)構(gòu)、云服務(wù)商安全責(zé)任部門或相關(guān)人員報(bào)告贗品組件的內(nèi)容；——訪談云服務(wù)商安全責(zé)任部門或相關(guān)人員，詢問其贗品組件報(bào)告情況；——檢查報(bào)告贗品組件的記錄等相關(guān)文檔，查看其是否按照要求報(bào)告，并將贗品率考慮納入供應(yīng)商考核范圍。6.12.2.2.3對(duì)c）的評(píng)估方法為：——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了進(jìn)行贗品組件檢測(cè)培訓(xùn)的人員或角色；——訪談所要求接受培訓(xùn)的人員或角色，詢問其贗品組件檢測(cè)的培訓(xùn)情況；——檢查有關(guān)贗品組件檢測(cè)的培訓(xùn)記錄，查看其是否對(duì)所明確的人員或角色進(jìn)行了培訓(xùn)。6.12.2.2.4對(duì)d）的評(píng)估方法為：——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了在等待服務(wù)或維修，以及已送修的組件返回時(shí)，需進(jìn)行配置檢查的關(guān)鍵組件；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其檢查關(guān)鍵組件配置的情況；——檢查云服務(wù)商收到的相關(guān)記錄，查看其是否按照要求保持檢查關(guān)鍵組件配置。6.12.2.2.5對(duì)e）的評(píng)估方法為：——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了銷毀廢棄信息系統(tǒng)組件的技術(shù)和方法；——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其廢棄的系統(tǒng)組件銷毀情況；——檢查銷毀廢棄信息系統(tǒng)組件的記錄等相關(guān)文檔，查看其是否使用所明確的技術(shù)和方法銷毀廢棄的信息系統(tǒng)組件。6.12.2.2.6對(duì)f）的評(píng)估方法為：——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否定義了檢查信息系統(tǒng)中贗品組件的頻率；——檢查信息系統(tǒng)中贗品組件的檢查記錄等相關(guān)文檔，查看其是否按照定義的頻率執(zhí)行。6.12.3高級(jí)要求6.13不被支持的系統(tǒng)組件6.13.1一般要求6.13.2增強(qiáng)要求6.13.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.13.2。6.13.2.2評(píng)估方法評(píng)估方法如下：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有系統(tǒng)組件不被支持時(shí)替換該系統(tǒng)組件，或當(dāng)因業(yè)務(wù)需要等原因需繼續(xù)使用時(shí)，提供正當(dāng)理由并經(jīng)過本組織領(lǐng)導(dǎo)層的批準(zhǔn)，并為不被支持的系統(tǒng)組件提供內(nèi)部支持或來自其他外部提供商支持的要求；GB/T34942—XXXX——訪談系統(tǒng)安全負(fù)責(zé)人或維護(hù)人員等相關(guān)人員，詢問其是否有替換系統(tǒng)組件的情況，以及系統(tǒng)組件不被提供支持時(shí)替換該組件的處理情況；——檢查系統(tǒng)組件替換方案、資產(chǎn)清單和組件替換記錄等相關(guān)文檔，查看云服務(wù)商是否定期對(duì)系統(tǒng)組件進(jìn)行分析，當(dāng)發(fā)現(xiàn)存在系統(tǒng)組件不被支持時(shí)及時(shí)替換該系統(tǒng)組件；——檢查批準(zhǔn)記錄或?qū)Σ槐恢С值南到y(tǒng)組件提供支持的協(xié)議等相關(guān)文檔，查看當(dāng)因業(yè)務(wù)需要等原因需繼續(xù)使用不被支持的系統(tǒng)組件時(shí)，是否提供了正當(dāng)理由并經(jīng)批準(zhǔn)，并提供了內(nèi)部或外部相關(guān)支持。6.13.3高級(jí)要求6.14供應(yīng)鏈保護(hù)6.14.1一般要求6.14.1.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.14.1的a）、b）、c）、d）和e）。6.14.1.2評(píng)估方法6.14.1.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否對(duì)供應(yīng)鏈過程和參與者進(jìn)行唯一標(biāo)識(shí)，并建立管理操作規(guī)程，是否明確以下事項(xiàng)：1）供應(yīng)鏈過程，包括硬件、軟件和固件開發(fā)過程，運(yùn)輸和裝卸過程，人員和物理安全程序，以及涉及到供應(yīng)鏈單元生產(chǎn)或發(fā)布的其他程序；2）供應(yīng)鏈參與者指供應(yīng)鏈中具有特定角色和責(zé)任的獨(dú)立個(gè)體；——檢查云服務(wù)商供應(yīng)鏈管理操作規(guī)程和相關(guān)記錄，查看其對(duì)供應(yīng)鏈的管理情況，以及對(duì)供應(yīng)鏈過程和參與者進(jìn)行唯一標(biāo)識(shí)的執(zhí)行情況。6.14.1.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求識(shí)別對(duì)云計(jì)算服務(wù)的安全性存在重要影響的外包服務(wù)或采購產(chǎn)品；——檢查云服務(wù)商的外包服務(wù)或采購產(chǎn)品清單，查看其是否識(shí)別出對(duì)云計(jì)算服務(wù)的安全性存在重要影響的外包服務(wù)或采購產(chǎn)品清單。6.14.1.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了需通過國家規(guī)定的檢測(cè)認(rèn)證的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品；——檢查所定義的重要設(shè)備通過信息安全檢測(cè)的證書/報(bào)告或者國家正式發(fā)布的檢測(cè)認(rèn)證結(jié)果清單，查看其是否通過了通過國家規(guī)定的檢測(cè)認(rèn)證。可監(jiān)督管理委員會(huì)等部門發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)6.14.1.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求運(yùn)輸或倉儲(chǔ)時(shí)使用防篡改包裝（如防偽標(biāo)簽、安全封條、中性化包裝是否要求對(duì)包裝物的封箱、開箱過程進(jìn)行監(jiān)督和記錄，是否要求對(duì)封條使用和貨柜安全操作建立指導(dǎo)性規(guī)程；——訪談設(shè)備管理員或倉庫管理員等相關(guān)人員，詢問云計(jì)算相關(guān)軟硬件在運(yùn)輸或倉儲(chǔ)時(shí)采用的防篡改措施；——檢查云計(jì)算相關(guān)軟硬件在運(yùn)輸或倉儲(chǔ)時(shí)使用的防篡改措施及記錄。6.14.1.2.5對(duì)e）的評(píng)估方法為：GB/T34942—XXXX——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求當(dāng)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，需通過網(wǎng)絡(luò)安全審查?！獧z查云服務(wù)商收到的相關(guān)安全性分析報(bào)告或?qū)彶橛涗?，查看其是否?duì)可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)通過網(wǎng)絡(luò)安全審查。6.14.2增強(qiáng)要求6.14.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.14.2的a）、b）、c）d）、e）、f）、g）和h）。6.14.2.2評(píng)估方法6.14.2.2.1對(duì)a）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了供應(yīng)鏈保護(hù)措施，以降低攻擊者利用供應(yīng)鏈造成的危害；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)供應(yīng)鏈管理的人員等相關(guān)人員，詢問其為降低攻擊者利用供應(yīng)鏈造成的危害而采取的保護(hù)措施的實(shí)施情況；——檢查供應(yīng)鏈保護(hù)措施的相關(guān)記錄，檢查供應(yīng)鏈保護(hù)措施的落實(shí)情況，包括但不限于：1）檢查采購方案、合同等相關(guān)文檔，查看其是否優(yōu)先購買現(xiàn)貨產(chǎn)品，避免購買定制設(shè)備；2）檢查采購方案、合同等相關(guān)文檔，查看其是否在能提供相同產(chǎn)品的多個(gè)不同供應(yīng)商中做選擇，以防范供應(yīng)商鎖定風(fēng)險(xiǎn)；3）檢查采購方案、合格供應(yīng)商列表等相關(guān)文檔，查看其是否選擇有聲譽(yù)的企業(yè)，建立了合格供應(yīng)商列表；4）檢查采購方案、合格供應(yīng)商列表等相關(guān)文檔，查看其是否采取相關(guān)措施縮短采購決定和交付的時(shí)間間隔；5）檢查采購方案、合格供應(yīng)商列表等相關(guān)文檔，查看其是否使用可信或可控的分發(fā)、交付和倉儲(chǔ)手段；6）檢查采購方案、合格供應(yīng)商列表等相關(guān)文檔，查看其是否限制從特定供應(yīng)商或國家采購產(chǎn)品或服務(wù)；7）檢查采購方案、合格供應(yīng)商列表、供應(yīng)鏈相關(guān)信息保護(hù)方案等相關(guān)文檔，查看其是否采取相關(guān)措施保護(hù)供應(yīng)鏈相關(guān)信息，包括：用戶身份、信息系統(tǒng)、組件或服務(wù)的用途、供應(yīng)商身份、供應(yīng)商處理過程、安全需求、設(shè)計(jì)說明書、測(cè)評(píng)結(jié)果、信息系統(tǒng)或組件配置等信息；查看其在制定保護(hù)措施時(shí)，是否確定哪些信息可通過匯聚或推導(dǎo)分析而獲得供應(yīng)鏈關(guān)鍵信息，并采取針對(duì)性的措施予以防范，例如，向供應(yīng)商屏蔽關(guān)鍵信息，采取匿名采購或委托采購；8）檢查采購方案、合格供應(yīng)商列表、物流管理規(guī)程、標(biāo)簽碼追溯數(shù)據(jù)管理規(guī)程和配套系統(tǒng)說明書等相關(guān)文檔，查看其是否制定物流管理規(guī)程，確保從物料到產(chǎn)品交付的可追溯性。6.14.2.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其采購策略、合同工具和采購方法是否優(yōu)先選擇滿足下列條件的供應(yīng)商：1）保護(hù)措施符合法律、法規(guī)、政策、標(biāo)準(zhǔn)以及云服務(wù)商的安全要求；2）企業(yè)運(yùn)轉(zhuǎn)過程和安全措施相對(duì)透明，具有相關(guān)文檔記錄；3）對(duì)下級(jí)供應(yīng)商、關(guān)鍵組件和服務(wù)的安全提供了進(jìn)一步的核查；4）在合同中聲明不使用有惡意代碼產(chǎn)品或假冒產(chǎn)品；；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)供應(yīng)鏈管理的人員等相關(guān)人員，詢問其優(yōu)先選擇供應(yīng)商的原則；——檢查采購方案、合格供應(yīng)商列表、核查記錄、合同等材料，查看其是否按照要求優(yōu)先選擇滿足條件的供應(yīng)商。GB/T34942—XXXX6.14.2.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在簽署合同前對(duì)供應(yīng)商進(jìn)行評(píng)估的要求；1）檢查云服務(wù)商的分析記錄，查看其是否對(duì)供應(yīng)商的信息系統(tǒng)、組件和服務(wù)的設(shè)計(jì)、開發(fā)、實(shí)施、驗(yàn)證、交付、支持過程進(jìn)行分析；2）檢查云服務(wù)商的評(píng)價(jià)記錄，查看其是否對(duì)供應(yīng)商開發(fā)信息系統(tǒng)、組件或服務(wù)時(shí)接受的安全培訓(xùn)和積累的經(jīng)驗(yàn)進(jìn)行評(píng)價(jià)，以判斷其安全能力；——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)供應(yīng)鏈管理的人員等相關(guān)人員，詢問其在簽署合同前對(duì)供應(yīng)商評(píng)估的實(shí)施情況。6.14.2.2.4對(duì)d）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了識(shí)別供應(yīng)鏈安全風(fēng)險(xiǎn)的頻率，是否綜合分析各方面的信息（包括執(zhí)法部門披露的信息、網(wǎng)絡(luò)安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示等），是否覆蓋到各層供應(yīng)商和候選供應(yīng)商；——檢查風(fēng)險(xiǎn)評(píng)估報(bào)告等相關(guān)文檔，查看其是否對(duì)供應(yīng)鏈安全進(jìn)行了評(píng)估。6.14.2.2.5對(duì)e）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了確認(rèn)所收到的信息系統(tǒng)或組件真實(shí)且未被篡改的保護(hù)措施（如光學(xué)標(biāo)簽等是否要求硬件供應(yīng)商提供詳細(xì)和完整的組件清單和產(chǎn)地清單；——檢查信息系統(tǒng)或組件真實(shí)且未被篡改的相關(guān)措施（如檢查光學(xué)標(biāo)簽真實(shí)性完整性查看其是否真實(shí)且未被篡改；——檢查組件清單和產(chǎn)地清單，查看硬件供應(yīng)商提供的組件清單和產(chǎn)地清單是否詳細(xì)和完整。6.14.2.2.6對(duì)f）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了供應(yīng)商選擇和退出的機(jī)制；是否要求對(duì)變更供應(yīng)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，并采取措施對(duì)風(fēng)險(xiǎn)進(jìn)行控制；——訪談負(fù)責(zé)采購相關(guān)人員，詢問其對(duì)供應(yīng)商的管理和風(fēng)險(xiǎn)控制措施；——檢查供應(yīng)商選擇和退出記錄、供應(yīng)商變更記錄和風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)控制措施實(shí)施記錄等文檔，查看其是否按照要求落實(shí)。6.14.2.2.7對(duì)g）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否明確了供應(yīng)鏈安全事件信息或威脅信息及時(shí)傳達(dá)到供應(yīng)鏈相關(guān)方的措施（如簽訂協(xié)議）；——檢查協(xié)議、供應(yīng)鏈安全事件信息或威脅信息的傳達(dá)記錄等文檔，查看其是否按照要求進(jìn)行落實(shí)。6.14.2.2.8對(duì)h）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，明確安全要求以及供應(yīng)商的安全責(zé)任和義務(wù)（如商用密碼要求、維保服務(wù)外包要求）；——訪談系統(tǒng)安全負(fù)責(zé)人或供應(yīng)鏈管理人員等相關(guān)人員，詢問其采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)明確安全要求以及供應(yīng)商的安全責(zé)任和義務(wù)相關(guān)情況；——檢查采購合同及相關(guān)協(xié)議，查看安全要求以及供應(yīng)商的安全責(zé)任和義務(wù)的落實(shí)情況。6.14.3高級(jí)要求6.14.3.1評(píng)估內(nèi)容詳見GB/T31168—2023中6.14.3的a）、b）和c）。6.14.3.2評(píng)估方法6.14.3.2.1對(duì)a）的評(píng)估方法為：GB/T34942—XXXX——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求使用不同供應(yīng)商提供的關(guān)鍵組件，并儲(chǔ)備足夠的備用組件（如可支撐業(yè)務(wù)運(yùn)行一年）；——檢查資產(chǎn)清單及組件，查看其是否使用了不同供應(yīng)商提供的關(guān)鍵組件，儲(chǔ)備的備用組件是否足夠。6.14.3.2.2對(duì)b）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求形成本組織內(nèi)部的供應(yīng)鏈圖譜，掌握供應(yīng)鏈全景信息；——檢查供應(yīng)鏈圖譜，查看其是否按要求形成了圖譜，圖譜是否能夠體現(xiàn)供應(yīng)鏈全景。6.14.3.2.3對(duì)c）的評(píng)估方法為：——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求定期開展供應(yīng)鏈安全評(píng)估，并調(diào)整供應(yīng)鏈安全保護(hù)策略、制度和安全措施等；——檢查供應(yīng)鏈安全評(píng)估報(bào)告、供應(yīng)鏈安全保護(hù)策略和制度、供應(yīng)鏈安全措施實(shí)施記錄等文檔，查看其是否按要求落實(shí)。7系統(tǒng)與通信保護(hù)評(píng)估方法7.1邊界保護(hù)7.1.1一般要求7.1.1.1評(píng)估內(nèi)容7.1.1.2評(píng)估方法7.1.1.2.1對(duì)a）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否在連接外部系統(tǒng)的邊界、內(nèi)部關(guān)鍵邊界和訪問系統(tǒng)的關(guān)鍵邏輯邊界上，建立對(duì)通信進(jìn)行監(jiān)控的機(jī)制；——檢查云計(jì)算平臺(tái)的邊界網(wǎng)絡(luò)、安全設(shè)備、審計(jì)系統(tǒng)等配置信息和監(jiān)控記錄，查看其是否按要求對(duì)通信進(jìn)行了監(jiān)控；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其邊界防護(hù)措施的監(jiān)控情況。7.1.1.2.2對(duì)b）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否建立外部公開直接訪問組件與內(nèi)部網(wǎng)絡(luò)安全隔離的相關(guān)機(jī)制（如隔離區(qū)是否建立允許外部人員訪問組件與允許客戶訪問組件邏輯隔離的相關(guān)機(jī)制；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其云平臺(tái)中是否存在允許外部公開直接訪問的組件；如有則詢問其內(nèi)外網(wǎng)隔離、邏輯隔離的實(shí)現(xiàn)情況；——測(cè)試邏輯隔離的機(jī)制，驗(yàn)證其允許外部公開直接訪問的組件與內(nèi)部網(wǎng)絡(luò)是否劃分在邏輯隔離的子網(wǎng)上，驗(yàn)證允許外部人員訪問的組件與允許客戶訪問的組件是否實(shí)現(xiàn)嚴(yán)格的邏輯隔離。7.1.1.2.3對(duì)c）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否建立只能通過嚴(yán)格管理的接口與外部網(wǎng)絡(luò)或信息系統(tǒng)連接的相關(guān)機(jī)制；——檢查與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接的接口，查看其是否部署了邊界保護(hù)設(shè)備；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接是否只通過嚴(yán)格管理的接口進(jìn)行；——測(cè)試外部網(wǎng)絡(luò)或信息系統(tǒng)的連接機(jī)制，驗(yàn)證其與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接是否只通過嚴(yán)格管GB/T34942—XXXX理的接口進(jìn)行。7.1.2增強(qiáng)要求7.1.2.1評(píng)估內(nèi)容詳見GB/T31168—2023中7.1.2的a）、b）、c）、d）、e）、f）和g）。7.1.2.2評(píng)估方法7.1.2.2.1對(duì)a）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看資源池的計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等設(shè)施是否物理獨(dú)立，并僅通過部署了邊界保護(hù)設(shè)備（如防火墻、網(wǎng)閘）或措施的受控接口與連接外部網(wǎng)絡(luò)或服務(wù)于其他類型的客戶的平臺(tái)和系統(tǒng)相連；——檢查云計(jì)算平臺(tái)的實(shí)際物理環(huán)境和受控邊界設(shè)備，查看其是否按照系統(tǒng)設(shè)計(jì)的內(nèi)容進(jìn)行實(shí)施；——訪談系統(tǒng)開發(fā)、運(yùn)維等相關(guān)人員，詢問其計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等設(shè)施是否物理獨(dú)立，并僅通過部署了邊界保護(hù)設(shè)備（如防火墻、網(wǎng)閘）或措施的受控接口與連接外部網(wǎng)絡(luò)或服務(wù)于其他類型的客戶的平臺(tái)和系統(tǒng)相連。7.1.2.2.2對(duì)b）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否限制了云計(jì)算平臺(tái)外部訪問接入點(diǎn)的數(shù)量；——檢查邊界保護(hù)設(shè)備的配置信息，查看其是否限制了云計(jì)算平臺(tái)外部訪問接入點(diǎn)的數(shù)量；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其云計(jì)算平臺(tái)外部訪問接入點(diǎn)的數(shù)量限制情7.1.2.2.3對(duì)c）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書、電信服務(wù)合同等其他相關(guān)文檔，查看其是否制定了以下外部電信服務(wù)的安全管理措施：1）對(duì)每一個(gè)外部的電信服務(wù)接口進(jìn)行管理；2）對(duì)每一個(gè)接口制定通信流策略；3）采取有關(guān)措施對(duì)所傳輸?shù)男畔⒘鬟M(jìn)行必要的保密性和完整性保護(hù)；4）當(dāng)根據(jù)業(yè)務(wù)需要，出現(xiàn)通信流策略的例外情況時(shí)，將業(yè)務(wù)需求和通信持續(xù)時(shí)間記錄到通信流策略的例外項(xiàng)中；5）按照云服務(wù)商定義的頻率，對(duì)網(wǎng)絡(luò)通信流策略中的例外項(xiàng)進(jìn)行審查，在通信流策略中刪除不再需要的例外項(xiàng)；——檢查云服務(wù)商所采取的安全措施，查看其是否按要求落實(shí)，包括：1）檢查外部的電信服務(wù)接口，查看其是否對(duì)每一個(gè)外部接口采取了安全管理措施：2）檢查接口通信流策略及通信流，查看其是否對(duì)每一個(gè)接口采取了通信流策略并有效；3）訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其傳輸信息流的保密性和完整性保護(hù)機(jī)制的情況；測(cè)試傳輸信息流的保密性和完整性保護(hù)機(jī)制，驗(yàn)證其有效性。例如，測(cè)試實(shí)際數(shù)據(jù)傳輸使用的傳輸協(xié)議，并進(jìn)行數(shù)據(jù)包分析；4）檢查出現(xiàn)通信流策略的例外情況時(shí)的通信流策略例外條款，查看其是否記錄了相關(guān)業(yè)務(wù)需求和通信持續(xù)時(shí)間；5）檢查邊界保護(hù)策略與規(guī)程和網(wǎng)絡(luò)通信流策略中的例外條款的審查記錄，查看其是否定義了審查頻率，是否按照所定義的頻率對(duì)網(wǎng)絡(luò)通信流策略中的例外項(xiàng)進(jìn)行審查，是否刪除了不再需要的例外條款。7.1.2.2.4對(duì)d）的評(píng)估方法為：——檢查云計(jì)算平臺(tái)網(wǎng)絡(luò)出入口授權(quán)策略等相關(guān)文檔，查看其是否建立外部通信接口授權(quán)機(jī)制；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其云計(jì)算平臺(tái)網(wǎng)絡(luò)出入口授權(quán)機(jī)制落實(shí)情況；GB/T34942—XXXX——檢查云計(jì)算平臺(tái)網(wǎng)絡(luò)出入口策略配置，查看默認(rèn)情況下是否拒絕所有網(wǎng)絡(luò)通信流量，已開通的策略是否按照最小業(yè)務(wù)需求進(jìn)行的配置；——測(cè)試云計(jì)算平臺(tái)網(wǎng)絡(luò)出入口數(shù)據(jù)傳輸機(jī)制，驗(yàn)證其是否存在非授權(quán)的數(shù)據(jù)傳輸外部通信接口。7.1.2.2.5對(duì)e）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否支持客戶使用安全的代理服務(wù)器完成遠(yuǎn)程對(duì)云平臺(tái)數(shù)據(jù)的導(dǎo)入導(dǎo)出；——訪談安全管理員等相關(guān)人員，詢問能否為客戶提供獨(dú)立的代理服務(wù)器實(shí)現(xiàn)信息的導(dǎo)入導(dǎo)出。7.1.2.2.6對(duì)f）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、系統(tǒng)設(shè)計(jì)說明書等相關(guān)文檔，查看其是否定義了邊界保護(hù)失效情況和以及對(duì)應(yīng)的受影響部分，查看其是否包含了在邊界保護(hù)失效情況下，確保云計(jì)算平臺(tái)中受影響部分能夠安全地終止運(yùn)行的機(jī)制；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問在邊界保護(hù)失效情況下，是否能確保云計(jì)算平臺(tái)中受影響部分能夠安全地終止運(yùn)行?！獧z查相關(guān)測(cè)試記錄，查看云服務(wù)商是否對(duì)在邊界保護(hù)失效情況下，云計(jì)算平臺(tái)中受影響部分能夠安全地終止運(yùn)行的機(jī)制的有效性進(jìn)行驗(yàn)證。7.1.2.2.7對(duì)g）的評(píng)估方法為：——檢查邊界保護(hù)策略與規(guī)程、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)等相關(guān)文檔，查看其是否有采取措施實(shí)現(xiàn)不同客戶或同一用戶不同業(yè)務(wù)信息系統(tǒng)的隔離機(jī)制；——訪談網(wǎng)絡(luò)管理員或安全管理員等相關(guān)人員，詢問其不同客戶或同一用戶不同業(yè)務(wù)信息系統(tǒng)的隔離機(jī)制實(shí)現(xiàn)情況；——測(cè)試不同客戶或同一用戶不同業(yè)務(wù)信息系統(tǒng)之間的隔離機(jī)制，驗(yàn)證隔離機(jī)制是否有效。7.1.3高級(jí)要求7.1.3.1評(píng)估內(nèi)容詳見GB/T31168—2023中7.1.3的a）、b）、c）和d）。7.1.3.2評(píng)估方法7.1.3