2024云计算服务安全能力评估方法.docx

《2024云计算服务安全能力评估方法.docx》由会员分享，可在线阅读，更多相关《2024云计算服务安全能力评估方法.docx（152页珍藏版）》请在课桌文档上搜索。

1、云计算服务安全能力评估方法20241范围12规范性引用文件13术语和定义14缩略语25概述25.1评估原则25.2 评估内容35.3 评估证据35.4 评估实施过程35.5 综合评估56系统开发与供应链安全评估方法66.1 资源分配66.2 系统生命周期66.3 采购过程76.4 系统文档96.5 关键性分析96.6 外部服务106.7 开发商安全体系架构126.8 开发过程、标准和工具126.9 开发过程配置管理146.10 开发商安全测试和评估156.11 开发商提供的培训181.1 12组件真实性191.2 13不被支持的系统组件201.3 14供应链保护207系统与通信保护评估方法23

2、1.4 1边界保护237.2 传输保密性和完整性267.3 网络中断277.4 可信路径287.5 密码使用和管理287.6 设备接入保护297.7 移动代码307.8 8会话认证317.9 恶意代码防护327.10 10内存防护337.11系统虚拟化安全性347.12网络虚拟化安全性367.13存储虚拟化安全性377. 14安全管理功能的通信保护398访问控制评估方法407.1 用户标识与鉴别407.2 标识符管理427.3 鉴别凭证管理427.4 鉴别凭证反馈447.5 密码模块鉴别447.6 账号管理457.7 访问控制的实施467.8 信息流控制477.9 最小特权488. 10未成功

3、的登录尝试498. 11系统使用通知508.12前次访问通知508. 13并发会话控制508 .14会话锁定519 .15未进行标识和鉴别情况下可采取的行动528. 16安全属性528. 17远程访问528. 18无线访问548.19外部信息系统的使用541.1 20可供公众访问的内容558.21 Web访问安全568.22 22APl访问安全569数据保护评估方法578.23 1通用数据安全579.2 介质访问和使用599.3 剩余信息保护619.4 数据使用保护629.5 数据共享保护629.6 数据迁移保护6310配置管理评估方法6410.1 配置管理6410.2 基线配置6510.3

4、变更控制6610.4 4配置参数的设置6810.5 最小功能原则7010.6 信息系统组件清单71H维护管理评估方法7211.1 受控维护7211.2 维护工具7411.3 远程维护7511.4 维护人员7611.5 及时维护7711.6 缺陷修复7711.7 安全功能验证7811.8 软件和固件完整性7912应急响应评估方法8012.1 事件处理计划8012.2 事件处理8112.3 3事件报告8212.4事件处理支持8312.5安全报警8412.6错误处理8512.7应急响应计划8512.8应急培训871.1 9应急演练8812.10 信息系统备份8912.11 支撑客户的业务连续性计划9

5、112.12 电信服务9113审计评估方法9213.1 可审计事件9213.2 审计记录内容9313.3 审计记录存储容量9413.4 审计过程失败时的响应9413.5 审计的审查、分析和报告9513.6 审计处理和报告生成9713.7 时间戳9813.8 审计信息保护9813.9 抗抵赖性9913.10 审计记录留存10014风险评估与持续监控评估方法1001.1 1风险评估1001.2 2脆弱性扫描1011.3 3持续监控1031.4 4信息系统监测1041.5 5垃圾信息监测10715安全组织与人员10815. 1安全策略与规程10815.1 安全组织10815.2 岗位风险与职责109

6、15.3 人员筛选11015.4 人员离职11015.5 人员调动Ill15.6 第三方人员安全11215.7 人员处罚11315.8 安全培训11316物理与环境安全评估方法11416. 1物理设施与设备选址11416.1 物理和环境规划11516.2 物理环境访问授权11716.3 物理环境访问控制11816.4 输出设备访问控制11916.5 物理访问监控12016.7访客访问记录12116.8设备运送和移除121附录A（资料性）常见云计算服务脆弱性问题123云计算服务安全能力评估方法1范围本文件给出了依据GB/T311682023信息安全技术云计算服务安全能力要求开展评估的原则、实施过

7、程以及针对各项具体安全要求进行评估的方法。本文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，云服务商在进行自评估时也可参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T311672023信息安全技术云计算服务安全指南GB/T311682023信息安全技术云计算服务安全能力要求GB/T37972-2019信息安全技术云计算服务运行监管框架3术语和定义GBZT25069、GB/T311672023和GBZ

8、T311682023界定的以及下列术语和定义适用于本文件。为便于使用，重复列出了部分术语和定义。3.1云计算cloudcomputing通过网络访问可扩展的、灵活的物理或虚拟资源池，并按需自助获取和管理的模式。来源:GB/T311682023,3.1注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。3.2云计算月及务cloudcomputingservice使用定义的接口，借助云计算（3.1）提供一种或多种资源的能力。来源:GB/T311682023,3.23.3云服务商cloudserviceprovider提供云计算服务（3.2）的参与方。来源：GB/T311682023,3

9、.33.4云服务客户ClOUdservicecustomer为使用云计算服务（3.2）而处于一定业务关系中的参与方。注1：业务关系不一定包含经济条款。注2：本文件中云服务客户简称客户。来源:GB/T311682023,定义3.43.5第三方评估机构thirdpartyassessmentorganization(3PA0)独立于云计算服务提供方和使用方的专业评估机构。来源：GB/T311672023,3.63.6云计算平台cloudcomputingplatform云服务商提供的云基础设施及其上的服务软件的集合。来源:GB/T311672023,3.83.7外部信息系统ExternaIInfo

10、rmationSystem云计算平台之外的信息系统。注：外部信息系统的所有权、控制权般不由云服务商掌握，其安全措施的使用或有效性不由云服务商直接控制。来源:GBZT311682023,3.93.8评估活动assessmentactivity评估过程中的一组任务。3.9评估方法assessmentmethod评估过程中使用的一般描述的操作逻辑序列。3.10评估人员assessmentperson执行评估活动的个人。4缩略语API：应用程序编程接口(applicationprogramminginterface)CPU：中央处理单元(centralprocessingunit)DDoS：分布式拒绝

11、服务(distributeddenialofservice)Hypervisor：虚拟机监视器(VirtlIalmaChinemonitOr)SLA：服务水平协议(SerViCe-IeVeIagreement)USB：通用串行总线(universalserialbus)VPC：虚拟私有云(VirtUalPriVateCloUd)VPN：虚拟专用网(VirtUalprivatenetwork)5概述5.1 评估原则第三方评估机构在评估时应遵循客观公正、可重用、可重复和可再现、灵活、最小影响及保密的原则。客观公正是指第三方评估机构在评估活动中应充分收集证据，对云计算服务安全措施的有效性和云计算平台

12、的安全性做出客观公正的判断。可重用是指在适用的情况下，第三方评估机构对云计算平台中使用的系统、组件或服务等参考其己有的评估结果。可重复和可再现是指在相同的环境下，不同的评估人员依照同样的要求，使用同样的方法，对每个评估实施过程的重复执行都应得到同样的评估结果。灵活是指在云服务商进行安全措施裁剪、替换等情况下，第三方评估机构应根据具体情况制定评估用例并进行评估。最小影响是指第三方评估机构在评估时尽量小地影响云服务商现有业务和系统的正常运行，最大程度降低对云服务商的风险。保密原则是指第三方评估机构应对涉及云服务商利益的商业信息以及云服务客户信息等严格保密。5.2 评估内容第三方评估机构依据国家相关

13、规定和GB/T311682023,主要对系统开发与供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护管理、应急响应、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等安全措施实施情况进行评估。第三方评估机构在开展安全评估工作中宜综合采用访谈、检查和测试等基本评估方法，以核实云服务商的云计算服务安全能力是否达到了一般安全能力、增强安全能力或高级安全能力。在评估增强要求时，一般要求应首先得到满足，在评估高级要求时，一般要求和增强要求应首先得到满足。访谈是指评估人员对云服务商等相关人员进行谈话的过程，对云计算服务安全措施实施情况进行了解、分析和取得证据。访谈的对象为个人或团体，例

14、如：信息安全的第一负责人、人事管理相关人员、系统安全负责人、网络管理员、系统管理员、账号管理员、安全管理员、安全审计员、维护人员、系统开发人员、物理安全负责人和用户等。检查是指评估人员通过对管理制度、安全策略和机制、安全配置和设计文档、运行记录等进行观察、查验、分析以帮助评估人员理解、分析和取得证据的过程。检查的对象为规范、机制和活动，例如：评审信息安全策略规划和程序；分析系统的设计文档和接口规范；观测系统的备份操作；审查应急响应演练结果；观察事件处理活动；研究设计说明书等技术手册和用户/管理员文档；查看、研究或观察信息系统的硬件/软件中信息技术机制的运行；查看、研究或观察信息系统运行相关的物

15、理安全措施等。测试是指评估人员进行技术测试（包括渗透测试），通过人工或自动化安全测试工具获得相关信息，并进行分析以帮助评估人员获取证据的过程。测试的对象为机制和活动，例如：访问控制、身份鉴别和验证、审计机制；测试安全配置设置，测试物理访问控制设备；进行信息系统的关键组成部分的渗透测试，测试信息系统的备份操作；测试事件处理能力、应急响应演练能力等。5.3 评估证据评估证据是指对评估结果起到佐证作用的任何实体，包括但不限于各种文档、图片、录音、录像、实物等，其载体可以是任何能够保存的形式，包括但不限于纸质的、电子的等。证据是在评估活动的过程中筛选或生成而来。所有评估活动产生的结果都应有相应的证据支

16、持。证据应得到妥善保管，以防止篡改、泄密、损坏、丢失等有损证据的行为。5.4 评估实施过程评估实施过程主要包括：评估准备、方案编制、现场实施和分析评估四个阶段，与云服务商的沟通与洽谈贯穿整个过程，评估实施过程见图1。在评估准备阶段，第三方评估机构应接收云服务商提交的系统安全计划，从内容完整性和准确性等方面审核系统安全计划，审核通过后，第三方评估机构与云服务商沟通被测对象、拟提供的证据、评估进度等相关信息，并组建评估实施团队。在方案编制阶段，第三方评估机构应确定评估对象、评估内容和评估方法，并根据需要选择、调整、开发和优化测试用例，形成相应安全评估方案。此阶段根据具体情况，可能还需要进行现场调研

17、，主要目的是：确定评估边界和范围，了解云服务商的系统运行状况、安全机构、制度、人员等现状，以便制定安全评估方案。在现场实施阶段，第三方评估刘曲主要依据系统安全计划等文档，针对系统开发与供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护管理、应急响应、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面的安全措施实施情况进行评估。该阶段主要由云服务商提供安全措施实施的证据，第三方评估机构审核证据并根据需要进行测试。必要时，应要求云服务商补充相关证据，双方对现场实施结果进行确认。在分析评估阶段，第三方评估机构应对现场实施阶段所形成的证据进行分析，首先给出对每项安要求的判定结果

18、。在GB/T311682023的5.6中，云服务商安全要求实现情况包括：满足、部分满足、替代满足、计划满足、不满足和不适用。第三方评估机构在判定时，计划满足视为不满足，替代满足视为满足。第三方评估机构在判定是否满足适用的安全要求时，如有测试和检查，原则上测试结果和检查结果满足安全要求的视为满足，否则视为不满足或部分满足。若无测试有检查，原则上检查结果满足安全要求的视为满足，否则视为不满足或部分满足。若无测试无检查，访谈结果满足安全要求的视为满足，否则视为不满足或部分满足。然后进行综合评估，根据对每项安全要求的判定结果，参照相关国家标准进行风险评估，最后综合各项评估结果形成安全评估报告，给出是否

19、达到GB/T311682023相应能力要求的评估结论。注：替代满足指云服务商采取的安全措施不满足对应要求项，但实现效果基本相同。计划满足指云服务商目前未采取安全措施以满足对应安全要求，并明确了进度安排以及在此期间的风险管控措施。不适用是指由于云计算服务能力类型、服务模式、部署模式及客户需求的不同，GB/T311682023的某项或某些项安全要求不适合某个云计算服务。在云服务商通过安全评估后，并与客户签订合同提供服务时，第三方评估机构也可按照相关规定、客户委托或其它情况积极参与和配合运行监管工作，具体实施应参照GB/T311672023及GB379722019运行监管相关规定。5.5 综合评估综

20、合评估是在得出单项要求判定结果后进行。单项要求的判定结果为满足、部分满足、不满足和不适用其中之一。对于单项要求为不适用的，第三方评估机构应参照GB/T311682023附录B给出的不同云能力类型下不适用项的识别原则进行统一判断。对于单项要求中涉及到赋值和选择的，第三方评估机构应结合云服务商具体应用场景，判断其赋值和选择是否合理。得出单项要求判定结果后，第三方评估机构对每一类安全要求中，所有单项要求为“满足”之外其他判定结果的要求项进行关联风险分析，得出该类安全要求所面临的低风险、中风险和高风险的分析结论。附录A给出了每类安全要求中常见的脆弱性问题，在进行风险分析识别脆弱性时可参考。注：高风险是

21、指遭到破坏后，云服务的安全性面临特别严重损害，业务持续性可能全部中断，且恢复时间较长。中风险是指遭到破坏后，云服务的安全性面临严重损害，业务持续性可能全部或者部分中断，可在可控的时间内恢复。低风险是指遭到破坏后，云服务的安全性面临损害，业务持续性可能部分中断，且可较快恢复。最后，第三方评估机构根据风险项情况得出结论。对于存在高风险项的云服务，视为不满足该等级安全能力要求。对于存在多个中风险项，且关联分析后可能导致高风险的云服务，也视为不满足该等级安全能力要求。对于不存在高风险项，多个中风险项关联分析后也不导致高风险的云服务，视为满足该等级安全能力要求。注：在进行风险分析时，需注意结合具体应用场

22、景等相关因素综合分析，分析结果尽量客观准确。6系统开发与供应链安全评估方法6.1 资源分配6.1.1 一般要求6.1.1.1 评估内容详见GB/T311682023中6.Ll的a）和b）。6.1.1.2 评估方法6.1.1.2.1 对a）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否有确定并分配为保护信息系统和服务所需资源（如有关资金、场地、人力等）的要求；一访谈网络安全的第一责任人或系统安全负责人等相关人员，询问其保护信息系统和服务所需资源的落实情况；检查工作计划、预算管理过程文档，查看其是否有保护信息系统和服务所需资源（如有关资金、场地、人力等）的内容。6.1.1.

23、2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否有在工作计划或预算文件中，将网络安全作为单列项予以考虑的要求；一一检查工作计划或预算文件，查看其是否将网络安全作为单列项予以说明。6.1.2 增强要求无。6.1.3 高级要求无。6.2系统生命周期6. 2.1一般要求7. 2.1.1评估内容详见GB/T311682023中6.2.1的a）、b）、C）和d）。8. 2.1.2评估方法9. 2.1.2.1对a）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了系统生命周期，如规划阶段、设计阶段、实施阶段、运维阶段、废止阶段等；是否将网络安全

24、纳入所定义的系统生命周期；访谈网络安全的第一负责人或系统安全负责人等相关人员，询问其安全措施同步规划、同步建设、同步运行的情况；检查云服务商定义的系统生命周期中的各阶段相关文档（如系统设计方案、上线前测试报告、试运行报告等），查看其是否明确提出信息系统和服务的安全需求，以确保安全措施同步规划、同步建设、同步运行。6.2.1.2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否有明确整个信息系统生命周期内网络安全角色和责任的要求，是否有将网络安全角色明确至相应责任人的要求；检查信息系统生命周期各阶段的相关文档，查看其是否明确提出各阶段的信息安全角色和责任，是否将各

25、阶段的信息安全角色明确至相应责任人。6.2.1.2.3对C）的评估方法为:一检查系统生命周期各阶段开发与供应链安全策略与规程等相关文档，查看其是否有将信息安全风险管理过程集成到系统生命周期活动中的要求；检查信息系统生命周期各阶段相关文档，查看其是否有信息安全风险管理内容，查看其是否有相应风险评估报告；访谈网络安全的第一责任人或系统安全负责人等相关人员，询问其在系统生命周期的各阶段中信息安全风险管理情况。6. 2.1.2.4对d）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否在设计阶段制定安全策略和措施;检查系统建设阶段相关文档，查看其是否实施分层保护，是否划定物理和逻

26、辑安全边界等。6.2.2增强要求无。6.2.3高级要求无。6.3采购过程6. 3.1一般要求7. 3.1.1评估内容详见GB/T311682023的6.3.1的a）、b）和c）。8. 3.1.2评估方法9. 3.1.2.1对a）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否有根据相关法律、法规、政策和标准的要求，以及可能的客户需求，并在风险评估的基础上，将安全功能要求、安全强度要求、安全保障要求、安全相关文档要求、保密要求、开发环境和预期运行环境描述、验收准则、强制配置要求等内容列入采购合同或其他文件的要求；访谈系统安全负责人等相关人员，询问其是否收集和整理相关的法律

27、、法规、政策和标准要求，并形成合规文件清单；访谈负责采购业务的相关人员，询问其在拟定采购合同之前，是否已充分考虑合规文件清单、可能的客户需求，以及相关的风险评估结果；一检查采购合同或其他文件，查看其是否包含所要求的内容。10. 3.1.2.2对b）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否有与供应商签订协议，明确安全和保密义务与责任，以及确保供应链安全事件信息或威胁信息能够及时传达到供应链上的有关各方的要求；访谈负责采购业务的相关人员，询问其是否明确安全和保密义务与责任，是否发生过供应链安全事件信息，是否将供应链安全事件信息或威胁信息及时传达到供应链上的有关各方；检

28、查采购合同或己签订的协议，查看其是否包含所要求的内容；检查安全事件报告或事件处置单等相关记录（适用于发生过供应链安全事件），查看是否将供应链安全事件信息或威胁信息及时传达到供应链上的有关各方。11. 3.1.2.3对C）的评估方法为：一检查与供应商签订的服务水平协议和相关云服务或云产品的可用性指标，查看各类云服务或云产品的相关可用性指标是否不低于拟与客户所签订的服务水平协议中的相关指标。12. 3.2增强要求13. 3.2.1评估内容详见GBZT311682023中6.3.2的a）、b）、C）和d）。14. 3.2.2评估方法15. 3.2.2.1对a）的评估方法为：一检查系统开发与供应链安全

29、策略与规程等相关文档，查看其是否有要求开发商对其使用的安全措施进行功能描述或机制描述的内容；访谈系统安全负责人等相关人员，询问其有哪些信息系统、组件或服务由开发商开发，是否形成云计算平台信息系统、组件或服务开发清单；检查云服务商收到的对安全措施进行功能描述或机制描述的文档，查看开发商是否按要求进行了描述。16. 3.2.2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否有要求开发商定义使用的系统工程方法、软件开发方法、测试技术和质量控制过程等保障系统开发过程质量的内容，是否有要求开发商提供系统开发过程质量保障相关证据的内容；检查云服务商收到的证据，查看该证据是

30、否足以证明开发商使用了所定义的系统工程方法、软件开发方法、测试技术和质量控制过程等。17. 3.2.2.3对C）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了开发商在交付信息系统、组件或服务时应实现的安全配置，是否禁用不必要或高风险的功能、端口、协议或服务，是否有将这些安全配置作为信息系统、组件或服务在重新安装或升级时的缺省配置的要求；一检查开发商在交付、重新安装或升级信息系统、组件或服务时使用的缺省安全配置文件和记录等相关文档，查看其是否符合云服务商定义的安全配置。18. 3.2.2.4对d）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否

31、制定了对安全措施有效性的持续监控计划；访谈系统安全负责人等相关人员，询问其对安全措施有效性的持续监控计划的实施情况；检查云服务商收到的证据，查看该证据是否足以证明云服务商对安全措施有效性进行持续监控。6. 3.3高级要求无。6.4系统文档6.4.1一般要求6.4.1.1评估内容详见GB/T311682023中6.4.1的a）、b）、C）和d）。6.4. 1.2评估方法6.4.1.2.1对a）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否要求开发商制定云计算平台信息系统、组件或服务开发清单中的管理员文档；检查管理员文档，查看其是否涵盖以下信息：1）信息系统、组件或服务的

32、安全配置，以及安装和运行说明；2）安全特性或功能的使用和维护说明；3）与管理功能有关的配置和使用方面的注意事项。6.4.1.2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否要求开发商制定云计算平台信息系统、组件或服务开发清单中的云产品使用文档，以供用户使用；检查云产品使用文档，查看其是否涵盖以下信息：D用户可使用的安全功能或机制，以及对如何有效使用这些安全功能或机制的说明；2）有助于用户更安全地使用信息系统、组件或服务的方法或说明；3）对用户安全责任和注意事项的说明。6.4.1.2.3对C）的评估方法为：访谈系统安全负责人等相关人员，询问其是否将开发商提供的

33、系统配置类文档和云产品使用文档作为重要资产予以识别，并按照风险管理策略进行保护；检查风险管理相关文档，查看其是否己识别和保护系统配置类文档和云产品使用文档。6.4.1.2.4对Ci）的评估方法为： 检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了文档分发的人员或角色； 访谈系统安全负责人等相关人员，询问其开发商提供的管理员文档和用户文档的分发范围，验证其是否明确到人员或角色； 访谈所定义的人员或角色，询问其是否已接收到相关文档； 检查分发记录，查看其是否按照所定义的人员或角色分发文档。6.4.2增强要求无。6.4.3高级要求无。6.5关键性分析6. 5.1一般要求无。7. 5.2

34、增强要求8. 5.2.1评估内容详见GBZT311682023的6.5.2。9. 5.2.2评估方法10. 5.2.2.1评估方法如下：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了系统生命周期中的决策点,是否定义了在该决策点进行关键性分析的信息系统、组件或服务，以确定关键信息系统组件和功能;访谈系统安全负责人等相关人员，询问其进行关键性分析的情况，是否分析了该功能或组件失效对系统业务的影响；一检查关键性分析报告等相关文档，查看其关键性分析的时间点与云服务商定义的系统生命周期中的决策点是否一致；检查系统设计说明书、关键性分析报告等相关文档，查看其是否有关键信息系统组件和功能清

35、单。6.5.3高级要求无。6.6外部服务6.6.1一般要求6.6.1.1评估内容详见GB/T311682023中6.6.1的a）、b）、C）和d）。6.6.1.2评估方法6.6.1.2.1对a）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否有要求外部服务（如电信服务、安全运维、安保服务、安全测评、安全监测等）提供商遵从并实施云服务商安全要求的内容；访谈信息安全的第一负责人或系统安全负责人等相关人员，询问其是否有外部服务提供商清单，以及外部服务提供商遵从并实施云服务商的安全要求的情况；一检查外部服务提供商清单、外部服务提供商管理规定等相关文档，查看其是否有相关要求。6.6

36、.1.2.2对b）的评估方法为：检查与外部服务提供商的服务合同等相关文档，查看其是否明确了外部服务提供商的安全分工与责任，是否要求外部服务提供商接受相关客户监督；访谈信息安全的第一负责人或系统安全负责人等相关人员，询问其外部服务提供商的安全分工与责任，以及外部服务提供商接受相关客户监督的情况。6.6.1.2.3对C）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否有对外部服务提供商提供的安全措施合规性进行持续监控的具体过程、方法和技术；检查对外部服务提供商提供的安全措施合规性进行持续监控的计划和报告，查看其是否按照所定义的过程、方法和技术对外部服务提供商提供的安全措施的

37、合规性进行了持续监控；一访谈系统安全负责人等相关人员，询问其是否具备足够资源（技术、人力、场地等），以满足对外部服务提供商提供的安全措施的合规性进行持续监控的需求。6. 6.1.2.4对d）的评估方法为：检查对外部服务提供商的审查报告和资质资格证明文件，查看其是否有历史合作记录或其资质满足云服务商所定义的可信赖的条件；一访谈负责采购业务的相关人员，询问其是否在筛选外部服务提供商时，根据其资质情况和历史合作记录进行过筛查审核。6.6.2增强要求6.6.2.1评估内容详见GB/T311682023中6.6.2的a）、b）、c）、d）、e）和f）。6.6.2.2评估方法6.6.2.2.1对a）的评估

38、方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了拟采购或外包的安全服务（如应急保障服务等），是否要求针对该安全服务进行风险评估；访谈系统安全负责人或负责采购业务的相关人员，询问其在采购或外包安全服务之前，是否对其进行风险评估；检查风险评估报告，查看其是否按要求进行了风险评估。6.6.2.2.2对b）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了批准拟采购或外包安全服务的安全责任部门以及相关人员或角色；检查审批记录，查看其是否由所定义的安全责任部门以及相关人员或角色予以批准。6. 6.2.2.3对C）的评估方法为：一检查系统开发与供应链安全策略

39、与规程等相关文档，查看其是否定义了外部服务，是否要求外部服务提供商以文档形式具体说明该外部服务涉及的功能、端口、协议和其他服务；检查外部服务提供商提供的说明文档，查看其是否对所定义的外部服务涉及的功能、端口、协议和其他服务予以说明。6.6.2.2.4对d）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了用于保持与外部服务提供商的信任关系的安全要求、属性、因素或者其他条件，例如外部服务提供商已获得的各类资质、与云服务商存在战略合作或投资关系等；访谈系统安全负责人或负责采购业务的人员等相关人员，询问其保持与外部服务提供商信任关系的方法，查看该方法是否属于所定义的安全要

40、求、属性、因素或者其他条件。6.6.2.2.5对e）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否根据评估情况定义了安全措施，以防止外部服务提供商损害本组织的利益，安全措施可以是：I）对外部服务提供商所提供的服务人员进行人员背景审查，或要求外部服务提供商提供可信的人员背景审查结果；2）检查外部服务提供商资本变更记录；3）定期或不定期检查外部服务提供商的设施。一一检查云服务商采取的安全措施的实施记录等相关文档，查看其是否实际实施；一访谈系统安全负责人、负责采购业务的人员等相关人员，询问其针对不同外部服务提供商所采取的安全防护措施落实情况。6.6.2.2.6对f）的评估方法

41、为：一检查合同、系统开发与供应链安全策略与规程等相关文档，查看其是否定义了限制信息处理/信息或数据/信息系统服务地点的要求或条件；访谈系统安全负责人或负责采购业务的人员等相关人员，询问其限制外部服务提供商信息处理、信息或数据存储、信息系统服务地点的安全措施，查看其是否符合所定义的要求或条件。6. 6.3高级要求无。6.7开发商安全体系架构6.7.1一般要求无。6.7.2增强要求6.7.2.1评估内容详见GB/T311682023中6.7.2的a）、b）和c）。6.7.2.2评估方法6.7.2.2.1对a）的评估方法为：一检查系统开发与供应链安全策略与规程，查看其是否要求开发商制定设计规范和安全

42、架构，是否要求该架构符合下列条件：1）该架构能够清喷体现信息系统的安全防护、技术运维和安全管理体系，并符合或支持云服务商的整体安全架构；2）准确完整地描述了所需的安全功能，并为物理和逻辑组件分配了安全措施；3）说明各项安全功能、机制和服务如何协同工作，以提供完整一致的保护能力。检查云服务商收到的设计规范和安全架构以及云服务商的安全架构相关文档，查看其是否符合上述1）、2）和3）的要求。6.7.2.2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程，查看其是否有要求开发商提供云服务所需的与安全相关的硬件、软件和固件的相关信息说明的内容；检查云服务商收到的相关文档，例如设计规范、管理员

43、文档等，查看其是否符合要求。6.7.2.2.3对C）的评估方法为：一检查系统开发与供应链安全策略与规程，查看其是否要求开发商编制非形式化的高层说明书，说明安全相关的硬件、软件和固件的接口；是否要求开发商通过非形式化的证明，说明该高层说明书完全覆盖了与安全相关的硬件、软件和固件的接口；一检查云服务商收到的非形式化高层说明书，查看其是否说明安全相关的硬件、软件和固件的接口;一检查云服务商收到的非形式化的证明文档，查看其是否完全覆盖了与安全相关的硬件、软件和固件的接口。6.7.3高级要求无。6.8开发过程、标准和工具6.8.1一般要求无。6.8.2增强要求6.8.2.1评估内容详见GB/T31168

44、2023中6.8.2的a）、b）、c）、d）、e）、f）、g）和h）。6.8.2.2评估方法6.8.2.2.1对a）的评估方法为：检查系统开发与供应链安全策略与规程，查看其是否要求开发商制定开发规范，是否要求在开发规范中明确以下事项：1）所开发系统的安全需求；2）开发过程中使用的标准和工具；3）开发过程中使用的特定工具选项和工具配置；检查云服务商收到的开发规范，查看其是否明确了上述相应事项。6.8.2.2.2对b）的评估方法为：一检查系统开发与供应链安全策略与规程等相关文档，查看其是否规定了检查质量度量标准落实情况的节点，是否要求开发商在开发过程的初始阶段定义检查质量度量标准，是否要求在规定的

45、节点检查质量度量标准的落实情况；一检查云服务商收到的开发规范等相关文档，查看开发商在开发过程的初始阶段是否定义了质量度量标准；检查云服务商收到的开发规范、设计文档、测评文档等相关文档，查看其是否按要求落实了质量度量标准；访谈云服务商的系统安全负责人或负责质量管理的人员等相关人员，询问其质量度量标准的落实情况。6.8.2.2.3对C）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否要求开发商明确安全问题追踪工具，是否要求开发商在开发过程期间使用；一检查云服务商收到的安全问题追踪清单及工具使用记录，查看其是否按要求使用。6.8.2.2.4对d）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了对信息系统进行威胁和脆弱性分析的广度和深度；一检查威胁和脆弱性分析报告等相关文档，查看其是否按照所定义的广度和深度对信息系统进行威胁和脆弱性分析。6.8.2.2.5对e）的评估方法为：检查系统开发与供应链安全策略与规程等相关文档，查看其是否定义了信息系统、组件或服务的开发商执行的漏洞分析工具，是否定义了工具的输出和分析结果提交的人员和角色；一检查漏洞分析记录，查看开发商是否使用所定义的工具执行漏洞分析，明确漏洞利用的可能性，确定漏洞消减措施；访谈所定义的人员或角色，询问其接收工具输出和分析结果的情况。