《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》

GB/T34942—XXXX

信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法

1范圍

本文件給出了依據(jù)GB/T31168—2023《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》開展評(píng)估的原則、

實(shí)施過程以及針對(duì)各項(xiàng)具體安全要求進(jìn)行評(píng)估的方法。

本文件適用于第三方評(píng)估機(jī)構(gòu)對(duì)云服務(wù)商提供云計(jì)算服務(wù)時(shí)具備的安全能力進(jìn)行評(píng)估，云服務(wù)商在

進(jìn)行自評(píng)估時(shí)也可參考。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T31167—2023信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31168—2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T37972—2019信息安全技術(shù)云計(jì)算服務(wù)運(yùn)行監(jiān)管框架

3術(shù)語和定義

GB/T25069、GB/T31167—2023和GB/T31168—2023界定的以及下列術(shù)語和定義適用于本文件。

為便于使用，重復(fù)列出了部分術(shù)語和定義。

3.1

云計(jì)算cloudcomputing

通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬資源池，并按需自助獲取和管理的模式。

[來源：GB/T31168—2023，3.1]

注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。

3.2

云計(jì)算服務(wù)cloudcomputingservice

使用定義的接口，借助云計(jì)算（3.1）提供一種或多種資源的能力。

[來源：GB/T31168—2023，3.2]

3.3

云服務(wù)商cloudserviceprovider

提供云計(jì)算服務(wù)（3.2）的參與方。

[來源：GB/T31168—2023，3.3]

3.4

云服務(wù)客戶cloudservicecustomer

為使用云計(jì)算服務(wù)（3.2）而處于一定業(yè)務(wù)關(guān)系中的參與方。

注1：業(yè)務(wù)關(guān)系不一定包含經(jīng)濟(jì)條款。

注2：本文件中云服務(wù)客戶簡稱客戶。

[來源：GB/T31168—2023，定義3.4]

1

GB/T34942—XXXX

3.5

第三方評(píng)估機(jī)構(gòu)thirdpartyassessmentorganization(3PAO）

獨(dú)立于云計(jì)算服務(wù)提供方和使用方的專業(yè)評(píng)估機(jī)構(gòu)。

[來源：GB/T31167—2023，3.6]

3.6

云計(jì)算平臺(tái)cloudcomputingplatform

云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。

[來源：GB/T31167—2023，3.8]

3.7

外部信息系統(tǒng)ExternalInformationSystem

云計(jì)算平臺(tái)之外的信息系統(tǒng)。

注：外部信息系統(tǒng)的所有權(quán)、控制權(quán)一般不由云服務(wù)商掌握，其安全措施的使用或有效性不由云服務(wù)商直接控制。

[來源：GB/T31168—2023，3.9]

3.8

評(píng)估活動(dòng)assessmentactivity

評(píng)估過程中的一組任務(wù)。

3.9

評(píng)估方法assessmentmethod

評(píng)估過程中使用的一般描述的操作邏輯序列。

3.10

評(píng)估人員assessmentperson

執(zhí)行評(píng)估活動(dòng)的個(gè)人。

4縮略語

API：應(yīng)用程序編程接口（applicationprogramminginterface）

CPU：中央處理單元（centralprocessingunit）

DDoS：分布式拒絕服務(wù)（distributeddenialofservice）

Hypervisor：虛擬機(jī)監(jiān)視器（virtualmachinemonitor）

SLA：服務(wù)水平協(xié)議（service-levelagreement）

USB：通用串行總線（universalserialbus）

VPC：虛擬私有云（virtualprivatecloud）

VPN：虛擬專用網(wǎng)（virtualprivatenetwork）

5概述

5.1評(píng)估原則

第三方評(píng)估機(jī)構(gòu)在評(píng)估時(shí)應(yīng)遵循客觀公正、可重用、可重復(fù)和可再現(xiàn)、靈活、最小影響及保密的原

則。

客觀公正是指第三方評(píng)估機(jī)構(gòu)在評(píng)估活動(dòng)中應(yīng)充分收集證據(jù)，對(duì)云計(jì)算服務(wù)安全措施的有效性和云

計(jì)算平臺(tái)的安全性做出客觀公正的判斷。

2

GB/T34942—XXXX

可重用是指在適用的情況下，第三方評(píng)估機(jī)構(gòu)對(duì)云計(jì)算平臺(tái)中使用的系統(tǒng)、組件或服務(wù)等參考其已

有的評(píng)估結(jié)果。

可重復(fù)和可再現(xiàn)是指在相同的環(huán)境下，不同的評(píng)估人員依照同樣的要求，使用同樣的方法，對(duì)每個(gè)

評(píng)估實(shí)施過程的重復(fù)執(zhí)行都應(yīng)得到同樣的評(píng)估結(jié)果。

靈活是指在云服務(wù)商進(jìn)行安全措施裁剪、替換等情況下，第三方評(píng)估機(jī)構(gòu)應(yīng)根據(jù)具體情況制定評(píng)估

用例并進(jìn)行評(píng)估。

最小影響是指第三方評(píng)估機(jī)構(gòu)在評(píng)估時(shí)盡量小地影響云服務(wù)商現(xiàn)有業(yè)務(wù)和系統(tǒng)的正常運(yùn)行，最大程

度降低對(duì)云服務(wù)商的風(fēng)險(xiǎn)。

保密原則是指第三方評(píng)估機(jī)構(gòu)應(yīng)對(duì)涉及云服務(wù)商利益的商業(yè)信息以及云服務(wù)客戶信息等嚴(yán)格保密。

5.2評(píng)估內(nèi)容

第三方評(píng)估機(jī)構(gòu)依據(jù)國家相關(guān)規(guī)定和GB/T31168—2023，主要對(duì)系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通

信保護(hù)、訪問控制、數(shù)據(jù)保護(hù)、配置管理、維護(hù)管理、應(yīng)急響應(yīng)、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控、安全組

織與人員、物理與環(huán)境安全等安全措施實(shí)施情況進(jìn)行評(píng)估。

第三方評(píng)估機(jī)構(gòu)在開展安全評(píng)估工作中宜綜合采用訪談、檢查和測(cè)試等基本評(píng)估方法，以核實(shí)云服

務(wù)商的云計(jì)算服務(wù)安全能力是否達(dá)到了一般安全能力、增強(qiáng)安全能力或高級(jí)安全能力。在評(píng)估增強(qiáng)要求

時(shí)，一般要求應(yīng)首先得到滿足，在評(píng)估高級(jí)要求時(shí)，一般要求和增強(qiáng)要求應(yīng)首先得到滿足。

訪談是指評(píng)估人員對(duì)云服務(wù)商等相關(guān)人員進(jìn)行談話的過程，對(duì)云計(jì)算服務(wù)安全措施實(shí)施情況進(jìn)行了

解、分析和取得證據(jù)。訪談的對(duì)象為個(gè)人或團(tuán)體，例如：信息安全的第一負(fù)責(zé)人、人事管理相關(guān)人員、

系統(tǒng)安全負(fù)責(zé)人、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、賬號(hào)管理員、安全管理員、安全審計(jì)員、維護(hù)人員、系統(tǒng)

開發(fā)人員、物理安全負(fù)責(zé)人和用戶等。

檢查是指評(píng)估人員通過對(duì)管理制度、安全策略和機(jī)制、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行觀察、

查驗(yàn)、分析以幫助評(píng)估人員理解、分析和取得證據(jù)的過程。檢查的對(duì)象為規(guī)范、機(jī)制和活動(dòng)，例如：評(píng)

審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設(shè)計(jì)文檔和接口規(guī)范；觀測(cè)系統(tǒng)的備份操作；審查應(yīng)急響應(yīng)演

練結(jié)果；觀察事件處理活動(dòng)；研究設(shè)計(jì)說明書等技術(shù)手冊(cè)和用戶/管理員文檔；查看、研究或觀察信息

系統(tǒng)的硬件/軟件中信息技術(shù)機(jī)制的運(yùn)行；查看、研究或觀察信息系統(tǒng)運(yùn)行相關(guān)的物理安全措施等。

測(cè)試是指評(píng)估人員進(jìn)行技術(shù)測(cè)試（包括滲透測(cè)試），通過人工或自動(dòng)化安全測(cè)試工具獲得相關(guān)信息，

并進(jìn)行分析以幫助評(píng)估人員獲取證據(jù)的過程。測(cè)試的對(duì)象為機(jī)制和活動(dòng)，例如：訪問控制、身份鑒別和

驗(yàn)證、審計(jì)機(jī)制；測(cè)試安全配置設(shè)置，測(cè)試物理訪問控制設(shè)備；進(jìn)行信息系統(tǒng)的關(guān)鍵組成部分的滲透測(cè)

試，測(cè)試信息系統(tǒng)的備份操作；測(cè)試事件處理能力、應(yīng)急響應(yīng)演練能力等。

5.3評(píng)估證據(jù)

評(píng)估證據(jù)是指對(duì)評(píng)估結(jié)果起到佐證作用的任何實(shí)體，包括但不限于各種文檔、圖片、錄音、錄像、

實(shí)物等，其載體可以是任何能夠保存的形式，包括但不限于紙質(zhì)的、電子的等。證據(jù)是在評(píng)估活動(dòng)的過

程中篩選或生成而來。所有評(píng)估活動(dòng)產(chǎn)生的結(jié)果都應(yīng)有相應(yīng)的證據(jù)支持。證據(jù)應(yīng)得到妥善保管，以防止

篡改、泄密、損壞、丟失等有損證據(jù)的行為。

5.4評(píng)估實(shí)施過程

評(píng)估實(shí)施過程主要包括：評(píng)估準(zhǔn)備、方案編制、現(xiàn)場(chǎng)實(shí)施和分析評(píng)估四個(gè)階段，與云服務(wù)商的溝通

與洽談貫穿整個(gè)過程，評(píng)估實(shí)施過程見圖1。

3

GB/T34942—XXXX

在評(píng)估準(zhǔn)備階段，第三方評(píng)估機(jī)構(gòu)應(yīng)接收云服務(wù)商提交的《系統(tǒng)安全計(jì)劃》，從內(nèi)容完整性和準(zhǔn)確

性等方面審核《系統(tǒng)安全計(jì)劃》，審核通過后，第三方評(píng)估機(jī)構(gòu)與云服務(wù)商溝通被測(cè)對(duì)象、擬提供的證

據(jù)、評(píng)估進(jìn)度等相關(guān)信息，并組建評(píng)估實(shí)施團(tuán)隊(duì)。

在方案編制階段，第三方評(píng)估機(jī)構(gòu)應(yīng)確定評(píng)估對(duì)象、評(píng)估內(nèi)容和評(píng)估方法，并根據(jù)需要選擇、調(diào)整、

開發(fā)和優(yōu)化測(cè)試用例，形成相應(yīng)安全評(píng)估方案。此階段根據(jù)具體情況，可能還需要進(jìn)行現(xiàn)場(chǎng)調(diào)研，主要

目的是：確定評(píng)估邊界和范圍，了解云服務(wù)商的系統(tǒng)運(yùn)行狀況、安全機(jī)構(gòu)、制度、人員等現(xiàn)狀，以便制

定安全評(píng)估方案。

4

GB/T34942—XXXX

在現(xiàn)場(chǎng)實(shí)施階段，第三方評(píng)估機(jī)構(gòu)主要依據(jù)《系統(tǒng)安全計(jì)劃》等文檔，針對(duì)系統(tǒng)開發(fā)與供應(yīng)鏈安全、

系統(tǒng)與通信保護(hù)、訪問控制、數(shù)據(jù)保護(hù)、配置管理、維護(hù)管理、應(yīng)急響應(yīng)、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控、

安全組織與人員、物理與環(huán)境安全等方面的安全措施實(shí)施情況進(jìn)行評(píng)估。該階段主要由云服務(wù)商提供安

全措施實(shí)施的證據(jù)，第三方評(píng)估機(jī)構(gòu)審核證據(jù)并根據(jù)需要進(jìn)行測(cè)試。必要時(shí)，應(yīng)要求云服務(wù)商補(bǔ)充相關(guān)

證據(jù)，雙方對(duì)現(xiàn)場(chǎng)實(shí)施結(jié)果進(jìn)行確認(rèn)。

在分析評(píng)估階段，第三方評(píng)估機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)實(shí)施階段所形成的證據(jù)進(jìn)行分析，首先給出對(duì)每項(xiàng)安要

求的判定結(jié)果。在GB/T31168—2023的5.6中，云服務(wù)商安全要求實(shí)現(xiàn)情況包括：滿足、部分滿足、替代

滿足、計(jì)劃滿足、不滿足和不適用。第三方評(píng)估機(jī)構(gòu)在判定時(shí)，計(jì)劃滿足視為不滿足，替代滿足視為滿

足。第三方評(píng)估機(jī)構(gòu)在判定是否滿足適用的安全要求時(shí)，如有測(cè)試和檢查，原則上測(cè)試結(jié)果和檢查結(jié)果

滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測(cè)試有檢查，原則上檢查結(jié)果滿足安全要

求的視為滿足，否則視為不滿足或部分滿足。若無測(cè)試無檢查，訪談結(jié)果滿足安全要求的視為滿足，否

則視為不滿足或部分滿足。然后進(jìn)行綜合評(píng)估，根據(jù)對(duì)每項(xiàng)安全要求的判定結(jié)果，參照相關(guān)國家標(biāo)準(zhǔn)進(jìn)

行風(fēng)險(xiǎn)評(píng)估，最后綜合各項(xiàng)評(píng)估結(jié)果形成安全評(píng)估報(bào)告，給出是否達(dá)到GB/T31168—2023相應(yīng)能力要求

的評(píng)估結(jié)論。

注：替代滿足指云服務(wù)商采取的安全措施不滿足對(duì)應(yīng)要求項(xiàng)，但實(shí)現(xiàn)效果基本相同。計(jì)劃滿足指云服務(wù)商目前未采

取安全措施以滿足對(duì)應(yīng)安全要求，并明確了進(jìn)度安排以及在此期間的風(fēng)險(xiǎn)管控措施。不適用是指由于云計(jì)算服務(wù)能力類

型、服務(wù)模式、部署模式及客戶需求的不同，GB/T31168—2023的某項(xiàng)或某些項(xiàng)安全要求不適合某個(gè)云計(jì)算服務(wù)。

在云服務(wù)商通過安全評(píng)估后，并與客戶簽訂合同提供服務(wù)時(shí)，第三方評(píng)估機(jī)構(gòu)也可按照相關(guān)規(guī)定、

客戶委托或其它情況積極參與和配合運(yùn)行監(jiān)管工作，具體實(shí)施應(yīng)參照GB/T31167—2023及GB/T

37972—2019運(yùn)行監(jiān)管相關(guān)規(guī)定。

5.5綜合評(píng)估

綜合評(píng)估是在得出單項(xiàng)要求判定結(jié)果后進(jìn)行。單項(xiàng)要求的判定結(jié)果為滿足、部分滿足、不滿足和不

適用其中之一。對(duì)于單項(xiàng)要求為不適用的，第三方評(píng)估機(jī)構(gòu)應(yīng)參照GB/T31168—2023附錄B給出的不同

云能力類型下不適用項(xiàng)的識(shí)別原則進(jìn)行統(tǒng)一判斷。對(duì)于單項(xiàng)要求中涉及到賦值和選擇的，第三方評(píng)估機(jī)

構(gòu)應(yīng)結(jié)合云服務(wù)商具體應(yīng)用場(chǎng)景，判斷其賦值和選擇是否合理。

得出單項(xiàng)要求判定結(jié)果后，第三方評(píng)估機(jī)構(gòu)對(duì)每一類安全要求中，所有單項(xiàng)要求為“滿足”之外其

他判定結(jié)果的要求項(xiàng)進(jìn)行關(guān)聯(lián)風(fēng)險(xiǎn)分析，得出該類安全要求所面臨的低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)的分析結(jié)

論。附錄A給出了每類安全要求中常見的脆弱性問題，在進(jìn)行風(fēng)險(xiǎn)分析識(shí)別脆弱性時(shí)可參考。

注：高風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨特別嚴(yán)重?fù)p害，業(yè)務(wù)持續(xù)性可能全部中斷，且恢復(fù)時(shí)間較長。中

風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨嚴(yán)重?fù)p害，業(yè)務(wù)持續(xù)性可能全部或者部分中斷，可在可控的時(shí)間內(nèi)恢復(fù)。低

風(fēng)險(xiǎn)是指遭到破壞后，云服務(wù)的安全性面臨損害，業(yè)務(wù)持續(xù)性可能部分中斷，且可較快恢復(fù)。

最后，第三方評(píng)估機(jī)構(gòu)根據(jù)風(fēng)險(xiǎn)項(xiàng)情況得出結(jié)論。對(duì)于存在高風(fēng)險(xiǎn)項(xiàng)的云服務(wù)，視為不滿足該等級(jí)

安全能力要求。對(duì)于存在多個(gè)中風(fēng)險(xiǎn)項(xiàng)，且關(guān)聯(lián)分析后可能導(dǎo)致高風(fēng)險(xiǎn)的云服務(wù)，也視為不滿足該等級(jí)

安全能力要求。對(duì)于不存在高風(fēng)險(xiǎn)項(xiàng)，多個(gè)中風(fēng)險(xiǎn)項(xiàng)關(guān)聯(lián)分析后也不導(dǎo)致高風(fēng)險(xiǎn)的云服務(wù)，視為滿足該

等級(jí)安全能力要求。

注：在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，需注意結(jié)合具體應(yīng)用場(chǎng)景等相關(guān)因素綜合分析，分析結(jié)果盡量客觀準(zhǔn)確。

5

GB/T34942—XXXX

6系統(tǒng)開發(fā)與供應(yīng)鏈安全評(píng)估方法

6.1資源分配

6.1.1一般要求

6.1.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.1.1的a）和b）。

6.1.1.2評(píng)估方法

6.1.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有確定并分配為保護(hù)信息系統(tǒng)

和服務(wù)所需資源（如有關(guān)資金、場(chǎng)地、人力等）的要求；

——訪談網(wǎng)絡(luò)安全的第一責(zé)任人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其保護(hù)信息系統(tǒng)和服務(wù)所需資

源的落實(shí)情況；

——檢查工作計(jì)劃、預(yù)算管理過程文檔，查看其是否有保護(hù)信息系統(tǒng)和服務(wù)所需資源（如有關(guān)資金、

場(chǎng)地、人力等）的內(nèi)容。

6.1.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在工作計(jì)劃或預(yù)算文件中，

將網(wǎng)絡(luò)安全作為單列項(xiàng)予以考慮的要求；

——檢查工作計(jì)劃或預(yù)算文件，查看其是否將網(wǎng)絡(luò)安全作為單列項(xiàng)予以說明。

6.1.2增強(qiáng)要求

無。

6.1.3高級(jí)要求

無。

6.2系統(tǒng)生命周期

6.2.1一般要求

6.2.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.2.1的a）、b）、c）和d）。

6.2.1.2評(píng)估方法

6.2.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期，如

規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢止階段等；是否將網(wǎng)絡(luò)安全納入所定義的系統(tǒng)

生命周期；

——訪談網(wǎng)絡(luò)安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其安全措施同步規(guī)劃、同步建

設(shè)、同步運(yùn)行的情況；

——檢查云服務(wù)商定義的系統(tǒng)生命周期中的各階段相關(guān)文檔（如系統(tǒng)設(shè)計(jì)方案、上線前測(cè)試報(bào)告、

試運(yùn)行報(bào)告等），查看其是否明確提出信息系統(tǒng)和服務(wù)的安全需求，以確保安全措施同步規(guī)劃、

同步建設(shè)、同步運(yùn)行。

6.2.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有明確整個(gè)信息系統(tǒng)生命周期

內(nèi)網(wǎng)絡(luò)安全角色和責(zé)任的要求，是否有將網(wǎng)絡(luò)安全角色明確至相應(yīng)責(zé)任人的要求；

——檢查信息系統(tǒng)生命周期各階段的相關(guān)文檔，查看其是否明確提出各階段的信息安全角色和責(zé)

任，是否將各階段的信息安全角色明確至相應(yīng)責(zé)任人。

6.2.1.2.3對(duì)c）的評(píng)估方法為：

6

GB/T34942—XXXX

——檢查系統(tǒng)生命周期各階段開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有將信息安全

風(fēng)險(xiǎn)管理過程集成到系統(tǒng)生命周期活動(dòng)中的要求；

——檢查信息系統(tǒng)生命周期各階段相關(guān)文檔，查看其是否有信息安全風(fēng)險(xiǎn)管理內(nèi)容，查看其是否有

相應(yīng)風(fēng)險(xiǎn)評(píng)估報(bào)告；

——訪談網(wǎng)絡(luò)安全的第一責(zé)任人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其在系統(tǒng)生命周期的各階段中

信息安全風(fēng)險(xiǎn)管理情況。

6.2.1.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否在設(shè)計(jì)階段制定安全策略和措

施；

——檢查系統(tǒng)建設(shè)階段相關(guān)文檔，查看其是否實(shí)施分層保護(hù)，是否劃定物理和邏輯安全邊界等。

6.2.2增強(qiáng)要求

無。

6.2.3高級(jí)要求

無。

6.3采購過程

6.3.1一般要求

6.3.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023的6.3.1的a）、b）和c）。

6.3.1.2評(píng)估方法

6.3.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有根據(jù)相關(guān)法律、法規(guī)、政策

和標(biāo)準(zhǔn)的要求，以及可能的客戶需求，并在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，將安全功能要求、安全強(qiáng)度要

求、安全保障要求、安全相關(guān)文檔要求、保密要求、開發(fā)環(huán)境和預(yù)期運(yùn)行環(huán)境描述、驗(yàn)收準(zhǔn)則、

強(qiáng)制配置要求等內(nèi)容列入采購合同或其他文件的要求；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否收集和整理相關(guān)的法律、法規(guī)、政策和標(biāo)準(zhǔn)要求，

并形成合規(guī)文件清單；

——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其在擬定采購合同之前，是否已充分考慮合規(guī)文件清單、

可能的客戶需求，以及相關(guān)的風(fēng)險(xiǎn)評(píng)估結(jié)果；

——檢查采購合同或其他文件，查看其是否包含所要求的內(nèi)容。

6.3.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有與供應(yīng)商簽訂協(xié)議，明確安

全和保密義務(wù)與責(zé)任，以及確保供應(yīng)鏈安全事件信息或威脅信息能夠及時(shí)傳達(dá)到供應(yīng)鏈上的有

關(guān)各方的要求；

——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其是否明確安全和保密義務(wù)與責(zé)任，是否發(fā)生過供應(yīng)鏈安

全事件信息，是否將供應(yīng)鏈安全事件信息或威脅信息及時(shí)傳達(dá)到供應(yīng)鏈上的有關(guān)各方；

——檢查采購合同或已簽訂的協(xié)議，查看其是否包含所要求的內(nèi)容；

——檢查安全事件報(bào)告或事件處置單等相關(guān)記錄（適用于發(fā)生過供應(yīng)鏈安全事件），查看是否將供

應(yīng)鏈安全事件信息或威脅信息及時(shí)傳達(dá)到供應(yīng)鏈上的有關(guān)各方。

6.3.1.2.3對(duì)c）的評(píng)估方法為：

——檢查與供應(yīng)商簽訂的服務(wù)水平協(xié)議和相關(guān)云服務(wù)或云產(chǎn)品的可用性指標(biāo)，查看各類云服務(wù)或云

產(chǎn)品的相關(guān)可用性指標(biāo)是否不低于擬與客戶所簽訂的服務(wù)水平協(xié)議中的相關(guān)指標(biāo)。

7

GB/T34942—XXXX

6.3.2增強(qiáng)要求

6.3.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.3.2的a）、b）、c）和d）。

6.3.2.2評(píng)估方法

6.3.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商對(duì)其使用的安全

措施進(jìn)行功能描述或機(jī)制描述的內(nèi)容；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其有哪些信息系統(tǒng)、組件或服務(wù)由開發(fā)商開發(fā)，是否形

成云計(jì)算平臺(tái)信息系統(tǒng)、組件或服務(wù)開發(fā)清單；

——檢查云服務(wù)商收到的對(duì)安全措施進(jìn)行功能描述或機(jī)制描述的文檔，查看開發(fā)商是否按要求進(jìn)行

了描述。

6.3.2.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商定義使用的系統(tǒng)

工程方法、軟件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程等保障系統(tǒng)開發(fā)過程質(zhì)量的內(nèi)容，是否有

要求開發(fā)商提供系統(tǒng)開發(fā)過程質(zhì)量保障相關(guān)證據(jù)的內(nèi)容；

——檢查云服務(wù)商收到的證據(jù)，查看該證據(jù)是否足以證明開發(fā)商使用了所定義的系統(tǒng)工程方法、軟

件開發(fā)方法、測(cè)試技術(shù)和質(zhì)量控制過程等。

6.3.2.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商在交付信息系

統(tǒng)、組件或服務(wù)時(shí)應(yīng)實(shí)現(xiàn)的安全配置，是否禁用不必要或高風(fēng)險(xiǎn)的功能、端口、協(xié)議或服務(wù)，

是否有將這些安全配置作為信息系統(tǒng)、組件或服務(wù)在重新安裝或升級(jí)時(shí)的缺省配置的要求；

——檢查開發(fā)商在交付、重新安裝或升級(jí)信息系統(tǒng)、組件或服務(wù)時(shí)使用的缺省安全配置文件和記錄

等相關(guān)文檔，查看其是否符合云服務(wù)商定義的安全配置。

6.3.2.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否制定了對(duì)安全措施有效性的持

續(xù)監(jiān)控計(jì)劃；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其對(duì)安全措施有效性的持續(xù)監(jiān)控計(jì)劃的實(shí)施情況；

——檢查云服務(wù)商收到的證據(jù)，查看該證據(jù)是否足以證明云服務(wù)商對(duì)安全措施有效性進(jìn)行持續(xù)監(jiān)

控。

6.3.3高級(jí)要求

無。

6.4系統(tǒng)文檔

6.4.1一般要求

6.4.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.4.1的a）、b）、c）和d）。

6.4.1.2評(píng)估方法

6.4.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計(jì)算平臺(tái)信

息系統(tǒng)、組件或服務(wù)開發(fā)清單中的管理員文檔；

——檢查管理員文檔，查看其是否涵蓋以下信息：

8

GB/T34942—XXXX

1）信息系統(tǒng)、組件或服務(wù)的安全配置，以及安裝和運(yùn)行說明；

2）安全特性或功能的使用和維護(hù)說明；

3）與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。

6.4.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計(jì)算平臺(tái)信

息系統(tǒng)、組件或服務(wù)開發(fā)清單中的云產(chǎn)品使用文檔，以供用戶使用；

——檢查云產(chǎn)品使用文檔，查看其是否涵蓋以下信息：

1）用戶可使用的安全功能或機(jī)制，以及對(duì)如何有效使用這些安全功能或機(jī)制的說明；

2）有助于用戶更安全地使用信息系統(tǒng)、組件或服務(wù)的方法或說明；

3）對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明。

6.4.1.2.3對(duì)c）的評(píng)估方法為：

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否將開發(fā)商提供的系統(tǒng)配置類文檔和云產(chǎn)品使用文

檔作為重要資產(chǎn)予以識(shí)別，并按照風(fēng)險(xiǎn)管理策略進(jìn)行保護(hù)；

——檢查風(fēng)險(xiǎn)管理相關(guān)文檔，查看其是否已識(shí)別和保護(hù)系統(tǒng)配置類文檔和云產(chǎn)品使用文檔。

6.4.1.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了文檔分發(fā)的人員或角

色；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其開發(fā)商提供的管理員文檔和用戶文檔的分發(fā)范圍，驗(yàn)

證其是否明確到人員或角色；

——訪談所定義的人員或角色，詢問其是否已接收到相關(guān)文檔；

——檢查分發(fā)記錄，查看其是否按照所定義的人員或角色分發(fā)文檔。

6.4.2增強(qiáng)要求

無。

6.4.3高級(jí)要求

無。

6.5關(guān)鍵性分析

6.5.1一般要求

無。

6.5.2增強(qiáng)要求

6.5.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023的6.5.2。

6.5.2.2評(píng)估方法

6.5.2.2.1評(píng)估方法如下：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期中的決策

點(diǎn)，是否定義了在該決策點(diǎn)進(jìn)行關(guān)鍵性分析的信息系統(tǒng)、組件或服務(wù)，以確定關(guān)鍵信息系統(tǒng)組

件和功能；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其進(jìn)行關(guān)鍵性分析的情況，是否分析了該功能或組件失

效對(duì)系統(tǒng)業(yè)務(wù)的影響；

——檢查關(guān)鍵性分析報(bào)告等相關(guān)文檔，查看其關(guān)鍵性分析的時(shí)間點(diǎn)與云服務(wù)商定義的系統(tǒng)生命周期

中的決策點(diǎn)是否一致；

——檢查系統(tǒng)設(shè)計(jì)說明書、關(guān)鍵性分析報(bào)告等相關(guān)文檔，查看其是否有關(guān)鍵信息系統(tǒng)組件和功能清

單。

9

GB/T34942—XXXX

6.5.3高級(jí)要求

無。

6.6外部服務(wù)

6.6.1一般要求

6.6.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.6.1的a）、b）、c）和d）。

6.6.1.2評(píng)估方法

6.6.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求外部服務(wù)（如電信服務(wù)、

安全運(yùn)維、安保服務(wù)、安全測(cè)評(píng)、安全監(jiān)測(cè)等）提供商遵從并實(shí)施云服務(wù)商安全要求的內(nèi)容；

——訪談信息安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否有外部服務(wù)提供商清

單，以及外部服務(wù)提供商遵從并實(shí)施云服務(wù)商的安全要求的情況；

——檢查外部服務(wù)提供商清單、外部服務(wù)提供商管理規(guī)定等相關(guān)文檔，查看其是否有相關(guān)要求。

6.6.1.2.2對(duì)b）的評(píng)估方法為：

——檢查與外部服務(wù)提供商的服務(wù)合同等相關(guān)文檔，查看其是否明確了外部服務(wù)提供商的安全分工

與責(zé)任，是否要求外部服務(wù)提供商接受相關(guān)客戶監(jiān)督；

——訪談信息安全的第一負(fù)責(zé)人或系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其外部服務(wù)提供商的安全分工

與責(zé)任，以及外部服務(wù)提供商接受相關(guān)客戶監(jiān)督的情況。

6.6.1.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)外部服務(wù)提供商提供的安

全措施合規(guī)性進(jìn)行持續(xù)監(jiān)控的具體過程、方法和技術(shù)；

——檢查對(duì)外部服務(wù)提供商提供的安全措施合規(guī)性進(jìn)行持續(xù)監(jiān)控的計(jì)劃和報(bào)告，查看其是否按照所

定義的過程、方法和技術(shù)對(duì)外部服務(wù)提供商提供的安全措施的合規(guī)性進(jìn)行了持續(xù)監(jiān)控；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其是否具備足夠資源（技術(shù)、人力、場(chǎng)地等），以滿足

對(duì)外部服務(wù)提供商提供的安全措施的合規(guī)性進(jìn)行持續(xù)監(jiān)控的需求。

6.6.1.2.4對(duì)d）的評(píng)估方法為：

——檢查對(duì)外部服務(wù)提供商的審查報(bào)告和資質(zhì)資格證明文件，查看其是否有歷史合作記錄或其資質(zhì)

滿足云服務(wù)商所定義的可信賴的條件；

——訪談負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其是否在篩選外部服務(wù)提供商時(shí)，根據(jù)其資質(zhì)情況和歷史

合作記錄進(jìn)行過篩查審核。

6.6.2增強(qiáng)要求

6.6.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.6.2的a）、b）、c）、d）、e）和f）。

6.6.2.2評(píng)估方法

6.6.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了擬采購或外包的安全服

務(wù)（如應(yīng)急保障服務(wù)等），是否要求針對(duì)該安全服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估；

——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的相關(guān)人員，詢問其在采購或外包安全服務(wù)之前，是否對(duì)

其進(jìn)行風(fēng)險(xiǎn)評(píng)估；

——檢查風(fēng)險(xiǎn)評(píng)估報(bào)告，查看其是否按要求進(jìn)行了風(fēng)險(xiǎn)評(píng)估。

6.6.2.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了批準(zhǔn)擬采購或外包安全

10

GB/T34942—XXXX

服務(wù)的安全責(zé)任部門以及相關(guān)人員或角色；

——檢查審批記錄，查看其是否由所定義的安全責(zé)任部門以及相關(guān)人員或角色予以批準(zhǔn)。

6.6.2.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了外部服務(wù)，是否要求外

部服務(wù)提供商以文檔形式具體說明該外部服務(wù)涉及的功能、端口、協(xié)議和其他服務(wù)；

——檢查外部服務(wù)提供商提供的說明文檔，查看其是否對(duì)所定義的外部服務(wù)涉及的功能、端口、協(xié)

議和其他服務(wù)予以說明。

6.6.2.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了用于保持與外部服務(wù)提

供商的信任關(guān)系的安全要求、屬性、因素或者其他條件，例如外部服務(wù)提供商已獲得的各類資

質(zhì)、與云服務(wù)商存在戰(zhàn)略合作或投資關(guān)系等；

——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其保持與外部服務(wù)提供商信任關(guān)

系的方法，查看該方法是否屬于所定義的安全要求、屬性、因素或者其他條件。

6.6.2.2.5對(duì)e）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否根據(jù)評(píng)估情況定義了安全措

施，以防止外部服務(wù)提供商損害本組織的利益，安全措施可以是：

1）對(duì)外部服務(wù)提供商所提供的服務(wù)人員進(jìn)行人員背景審查，或要求外部服務(wù)提供商提供可信

的人員背景審查結(jié)果；

2）檢查外部服務(wù)提供商資本變更記錄；

3）定期或不定期檢查外部服務(wù)提供商的設(shè)施。

——檢查云服務(wù)商采取的安全措施的實(shí)施記錄等相關(guān)文檔，查看其是否實(shí)際實(shí)施；

——訪談系統(tǒng)安全負(fù)責(zé)人、負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其針對(duì)不同外部服務(wù)提供商所采

取的安全防護(hù)措施落實(shí)情況。

6.6.2.2.6對(duì)f）的評(píng)估方法為：

——檢查合同、系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了限制信息處理/

信息或數(shù)據(jù)/信息系統(tǒng)服務(wù)地點(diǎn)的要求或條件；

——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其限制外部服務(wù)提供商信息處

理、信息或數(shù)據(jù)存儲(chǔ)、信息系統(tǒng)服務(wù)地點(diǎn)的安全措施，查看其是否符合所定義的要求或條件。

6.6.3高級(jí)要求

無。

6.7開發(fā)商安全體系架構(gòu)

6.7.1一般要求

無。

6.7.2增強(qiáng)要求

6.7.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.7.2的a）、b）和c）。

6.7.2.2評(píng)估方法

6.7.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定設(shè)計(jì)規(guī)范和安全架構(gòu)，是

否要求該架構(gòu)符合下列條件：

1）該架構(gòu)能夠清晰體現(xiàn)信息系統(tǒng)的安全防護(hù)、技術(shù)運(yùn)維和安全管理體系，并符合或支持云服

11

GB/T34942—XXXX

務(wù)商的整體安全架構(gòu)；

2）準(zhǔn)確完整地描述了所需的安全功能，并為物理和邏輯組件分配了安全措施；

3）說明各項(xiàng)安全功能、機(jī)制和服務(wù)如何協(xié)同工作，以提供完整一致的保護(hù)能力。

——檢查云服務(wù)商收到的設(shè)計(jì)規(guī)范和安全架構(gòu)以及云服務(wù)商的安全架構(gòu)相關(guān)文檔，查看其是否符合

上述1）、2）和3）的要求。

6.7.2.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否有要求開發(fā)商提供云服務(wù)所需的與安全相

關(guān)的硬件、軟件和固件的相關(guān)信息說明的內(nèi)容；

——檢查云服務(wù)商收到的相關(guān)文檔，例如設(shè)計(jì)規(guī)范、管理員文檔等，查看其是否符合要求。

6.7.2.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商編制非形式化的高層說明書，

說明安全相關(guān)的硬件、軟件和固件的接口；是否要求開發(fā)商通過非形式化的證明，說明該高層

說明書完全覆蓋了與安全相關(guān)的硬件、軟件和固件的接口；

——檢查云服務(wù)商收到的非形式化高層說明書，查看其是否說明安全相關(guān)的硬件、軟件和固件的接

口；

——檢查云服務(wù)商收到的非形式化的證明文檔，查看其是否完全覆蓋了與安全相關(guān)的硬件、軟件和

固件的接口。

6.7.3高級(jí)要求

無。

6.8開發(fā)過程、標(biāo)準(zhǔn)和工具

6.8.1一般要求

無。

6.8.2增強(qiáng)要求

6.8.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.8.2的a）、b）、c）、d）、e）、f）、g）和h）。

6.8.2.2評(píng)估方法

6.8.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定開發(fā)規(guī)范，是否要求在開

發(fā)規(guī)范中明確以下事項(xiàng)：

1）所開發(fā)系統(tǒng)的安全需求；

2）開發(fā)過程中使用的標(biāo)準(zhǔn)和工具；

3）開發(fā)過程中使用的特定工具選項(xiàng)和工具配置；

——檢查云服務(wù)商收到的開發(fā)規(guī)范，查看其是否明確了上述相應(yīng)事項(xiàng)。

6.8.2.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否規(guī)定了檢查質(zhì)量度量標(biāo)準(zhǔn)落實(shí)

情況的節(jié)點(diǎn)，是否要求開發(fā)商在開發(fā)過程的初始階段定義檢查質(zhì)量度量標(biāo)準(zhǔn)，是否要求在規(guī)定

的節(jié)點(diǎn)檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況；

——檢查云服務(wù)商收到的開發(fā)規(guī)范等相關(guān)文檔，查看開發(fā)商在開發(fā)過程的初始階段是否定義了質(zhì)量

度量標(biāo)準(zhǔn)；

——檢查云服務(wù)商收到的開發(fā)規(guī)范、設(shè)計(jì)文檔、測(cè)評(píng)文檔等相關(guān)文檔，查看其是否按要求落實(shí)了質(zhì)

量度量標(biāo)準(zhǔn)；

12

GB/T34942—XXXX

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)質(zhì)量管理的人員等相關(guān)人員，詢問其質(zhì)量度量標(biāo)準(zhǔn)的落

實(shí)情況。

6.8.2.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商明確安全問題追蹤

工具，是否要求開發(fā)商在開發(fā)過程期間使用；

——檢查云服務(wù)商收到的安全問題追蹤清單及工具使用記錄，查看其是否按要求使用。

6.8.2.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了對(duì)信息系統(tǒng)進(jìn)行威脅和

脆弱性分析的廣度和深度；

——檢查威脅和脆弱性分析報(bào)告等相關(guān)文檔，查看其是否按照所定義的廣度和深度對(duì)信息系統(tǒng)進(jìn)行

威脅和脆弱性分析。

6.8.2.2.5對(duì)e）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了信息系統(tǒng)、組件或服務(wù)

的開發(fā)商執(zhí)行的漏洞分析工具，是否定義了工具的輸出和分析結(jié)果提交的人員和角色;

——檢查漏洞分析記錄，查看開發(fā)商是否使用所定義的工具執(zhí)行漏洞分析，明確漏洞利用的可能性，

確定漏洞消減措施；

——訪談所定義的人員或角色，詢問其接收工具輸出和分析結(jié)果的情況。

6.8.2.2.6對(duì)f）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的

開發(fā)商即使在交付信息系統(tǒng)、組件或服務(wù)后，也跟蹤漏洞情況。

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或安全管理員，詢問其信息系統(tǒng)、組件或服務(wù)的開發(fā)商是否在

發(fā)布漏洞補(bǔ)丁前提前通知云服務(wù)商，且將漏洞補(bǔ)丁交由云服務(wù)商審查、驗(yàn)證并允許云服務(wù)商自

行安裝。

——檢查云服務(wù)商收到的發(fā)布漏洞補(bǔ)丁的通知、漏洞補(bǔ)丁審查及安裝等相關(guān)記錄，查看其是否按照

要求進(jìn)行通知、驗(yàn)證。

6.8.2.2.7對(duì)g）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務(wù)

的開發(fā)和測(cè)試環(huán)境使用生產(chǎn)數(shù)據(jù)時(shí)，先行批準(zhǔn)、記錄并進(jìn)行保護(hù)的相關(guān)內(nèi)容；

——檢查云服務(wù)商使用生產(chǎn)數(shù)據(jù)的相關(guān)記錄，查看其是否按照要求進(jìn)行審批、記錄和保護(hù)。

6.8.2.2.8對(duì)h）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務(wù)

的開發(fā)商制定應(yīng)急預(yù)案。

——檢查云服務(wù)商應(yīng)急響應(yīng)計(jì)劃，查看其是否將信息系統(tǒng)、組件或服務(wù)的開發(fā)商制定的應(yīng)急預(yù)案納

入其中。

6.8.3高級(jí)要求

無。

6.9開發(fā)過程配置管理

6.9.1一般要求

6.9.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.9.1的a）、b）、c）、d）和e）。

6.9.1.2評(píng)估方法

6.9.1.2.1對(duì)a）的評(píng)估方法為：

13

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在信息系統(tǒng)、組

件或服務(wù)的設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)或運(yùn)行過程中實(shí)施配置管理的內(nèi)容；

——檢查云服務(wù)商收到的配置管理相關(guān)文檔，例如配置管理計(jì)劃，查看配置管理文檔是否涉及了設(shè)

計(jì)、開發(fā)、實(shí)現(xiàn)或運(yùn)行過程。

6.9.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商需要記錄、管理

和控制的配置項(xiàng)；是否要求形成基本配置信息庫；是否有要求開發(fā)商記錄、管理和控制配置項(xiàng)

變更完整性的內(nèi)容；配置項(xiàng)包括但不限于：形式化模型、功能、高層設(shè)計(jì)說明書、低層設(shè)計(jì)說

明書、其他設(shè)計(jì)數(shù)據(jù)、實(shí)施文檔、源代碼和硬件原理圖、目標(biāo)代碼的運(yùn)行版本、版本對(duì)比工具、

測(cè)試設(shè)備和文檔；

——檢查云服務(wù)商的基本配置信息庫，查看其配置項(xiàng)及配置信息是否符合要求；

——檢查云服務(wù)商保存的配置項(xiàng)變更記錄，查看其所定義的配置項(xiàng)的變更記錄內(nèi)容是否缺失、記錄

留存時(shí)間是否滿足管理要求。

6.9.1.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商得到批準(zhǔn)后，才

能對(duì)所提供的信息系統(tǒng)、組件或服務(wù)進(jìn)行配置項(xiàng)變更的內(nèi)容；

——檢查云服務(wù)商收到的配置項(xiàng)變更記錄等相關(guān)文檔，例如配置項(xiàng)變更申請(qǐng)表，查看變更是否得到

云服務(wù)商的批準(zhǔn)。

6.9.1.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商記錄對(duì)信息系

統(tǒng)、組件或服務(wù)的變更及其所產(chǎn)生的安全影響的內(nèi)容；

——檢查云服務(wù)商收到的配置項(xiàng)變更記錄等相關(guān)文檔，查看其是否對(duì)變更產(chǎn)生的安全影響進(jìn)行了分

析；

——檢查云服務(wù)商的基本配置信息庫和收到的配置項(xiàng)變更記錄，查看其是否按照變更記錄及時(shí)更新

了基本配置信息庫。

6.9.1.2.5對(duì)e）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商跟蹤信息系統(tǒng)、

組件或服務(wù)中的安全缺陷和解決方案的內(nèi)容；

——檢查云服務(wù)商收到的安全缺陷跟蹤記錄和解決方案，查看其是否對(duì)安全缺陷進(jìn)行了跟蹤，并緩

解或解決了安全缺陷。

6.9.2增強(qiáng)要求

6.9.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.9.2的a）、b）、c）和d）。

6.9.2.2評(píng)估方法

6.9.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供能夠驗(yàn)證軟

件和固件組件完整性方法的內(nèi)容；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其驗(yàn)證軟件和固件組件完整

性的方法；

——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否對(duì)軟件和固件組件完整性驗(yàn)證方法進(jìn)

行了詳細(xì)的說明。

6.9.2.2.2對(duì)b）的評(píng)估方法為：

14

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在沒有專用的開發(fā)商配置團(tuán)

隊(duì)支持的情況下，由本組織的人員建立相應(yīng)配置管理流程的要求；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或配置管理相關(guān)人員，詢問其開發(fā)商配置管理團(tuán)隊(duì)和流程等情

況，以及云服務(wù)商相應(yīng)的配置管理團(tuán)隊(duì)和流程等情況；

——檢查云服務(wù)商的配置管理計(jì)劃等相關(guān)文檔，查看其是否在沒有專用的開發(fā)商配置團(tuán)隊(duì)支持的情

況下，由云服務(wù)商的人員建立相應(yīng)配置管理流程。

6.9.2.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供對(duì)硬件組件

完整性驗(yàn)證方法（如防偽標(biāo)簽、可核查序列號(hào)、防篡改技術(shù)等）的內(nèi)容；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或維護(hù)人員等相關(guān)人員，詢問其驗(yàn)證硬件組件完整性的方法；

——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否對(duì)硬件組件完整性進(jìn)行詳細(xì)的說明。

6.9.2.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)過程中使

用工具驗(yàn)證軟件或固件源代碼、目標(biāo)代碼的當(dāng)前版本與以往版本異同，以防止非授權(quán)更改的內(nèi)

容；是否有要求開發(fā)商采取措施保證安全相關(guān)的硬件、軟件和固件的出廠版本與現(xiàn)場(chǎng)運(yùn)行版本

一致，現(xiàn)場(chǎng)更新與開發(fā)商內(nèi)部版本一致的內(nèi)容；

——檢查云服務(wù)商收到的設(shè)計(jì)說明書等相關(guān)文檔，查看其是否詳細(xì)說明了防止非授權(quán)更改的驗(yàn)證方

法；

——檢查云服務(wù)商收到的對(duì)固件源代碼、目標(biāo)代碼的異同進(jìn)行驗(yàn)證的記錄文檔，查看開發(fā)商是否進(jìn)

行了驗(yàn)證。

6.9.3高級(jí)要求

無。

6.10開發(fā)商安全測(cè)試和評(píng)估

6.10.1一般要求

6.10.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.10.1的a）、b）、c）、d）和e）。

6.10.1.2評(píng)估方法

6.10.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商制定并實(shí)施安全

評(píng)估計(jì)劃的內(nèi)容；

——檢查云服務(wù)商收到的安全評(píng)估計(jì)劃，查看開發(fā)商是否按要求制定了安全評(píng)估計(jì)劃。

6.10.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否選擇了實(shí)施安全測(cè)試或評(píng)估的

過程，是否定義了在所選擇的過程中進(jìn)行安全測(cè)試或評(píng)估的深度和覆蓋面。

6.10.1.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供安全評(píng)估計(jì)

劃的實(shí)施證明材料和安全評(píng)估結(jié)果的內(nèi)容；

——檢查云服務(wù)商收到的安全評(píng)估計(jì)劃、安全評(píng)估報(bào)告等相關(guān)文檔，查看開發(fā)商是否按照云服務(wù)商

定義的深度和覆蓋面執(zhí)行相應(yīng)的測(cè)試或評(píng)估。

6.10.1.2.4對(duì)d）的評(píng)估方法為：

15

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商實(shí)施可驗(yàn)證的缺陷

修復(fù)過程；

——檢查云服務(wù)商收到的缺陷修復(fù)報(bào)告等相關(guān)文檔，查看開發(fā)商是否實(shí)施了可被驗(yàn)證的修復(fù)過程；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其缺陷修復(fù)過程及過程是否可被驗(yàn)證。

6.10.1.2.5對(duì)e）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商更正在安全評(píng)估

過程中發(fā)現(xiàn)的脆弱性和不足的內(nèi)容；

——檢查云服務(wù)商收到的安全評(píng)估報(bào)告、缺陷修復(fù)報(bào)告等相關(guān)記錄，查看開發(fā)商是否更正了在安全

評(píng)估過程中發(fā)現(xiàn)的脆弱性和不足。

6.10.2增強(qiáng)要求

6.10.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.10.2的a）、b）、c）、d）、e）、f）和g）。

6.10.2.2評(píng)估方法

6.10.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)階段使用

靜態(tài)代碼分析工具識(shí)別常見缺陷以及記錄分析結(jié)果的內(nèi)容；

——檢查云服務(wù)商收到的缺陷分析報(bào)告或記錄等相關(guān)文檔，查看開發(fā)商是否在開發(fā)階段使用靜態(tài)代

碼分析工具識(shí)別常見缺陷。

6.10.2.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商實(shí)施威脅和脆弱

性分析，并測(cè)試或評(píng)估已開發(fā)完成的信息系統(tǒng)、組件或服務(wù)的內(nèi)容；

——檢查云服務(wù)商收到的缺陷分析報(bào)告或記錄等相關(guān)文檔，查看開發(fā)商是否對(duì)威脅和脆弱性進(jìn)行了

分析；

——檢查云服務(wù)商收到的測(cè)試或評(píng)估報(bào)告，查看開發(fā)商是否對(duì)已開發(fā)完成的系統(tǒng)、組件或服務(wù)進(jìn)行

了測(cè)試或評(píng)估。

6.10.2.2.3對(duì)c）中條款1）2）的評(píng)估方法如下。

——對(duì)條款1）的評(píng)估方法為：

檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求選擇第三方驗(yàn)證開發(fā)

商實(shí)施安全評(píng)估計(jì)劃的正確性以及在安全測(cè)試或評(píng)估過程中產(chǎn)生的證據(jù)；

檢查云服務(wù)商提供的第三方資質(zhì)證明、安全評(píng)估報(bào)告等相關(guān)材料，查看云服務(wù)商是否選擇

第三方驗(yàn)證。

——對(duì)條款2）的評(píng)估方法為：

檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)開發(fā)商進(jìn)行評(píng)估時(shí)，

確保獨(dú)立第三方能夠獲得足夠的資料來完成驗(yàn)證過程，或已被授予獲得此類信息的訪問權(quán)

限的要求；

訪談系統(tǒng)安全負(fù)責(zé)人或獨(dú)立第三方等相關(guān)人員，詢問其獨(dú)立第三方對(duì)開發(fā)商進(jìn)行安全評(píng)估

的情況；

檢查云服務(wù)商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨(dú)立第三方完成驗(yàn)證過

程，或已被授予獲得所需信息的訪問權(quán)限。

6.10.2.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了代碼審查過程、規(guī)程或

技術(shù)，是否定義了需實(shí)施代碼審查的特定代碼；是否要求開發(fā)商對(duì)所定義的特定代碼實(shí)施代碼

審查；

16

GB/T34942—XXXX

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其代碼審查情況；

——檢查云服務(wù)商收到的代碼審查結(jié)果，查看開發(fā)商是否實(shí)施了代碼審查。

6.10.2.2.5對(duì)e）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了滲透性測(cè)試的約束條

件；是否定義了滲透性測(cè)試的廣度和深度；是否要求開發(fā)商按照所定義的約束條件，執(zhí)行符合

要求的廣度和深度的滲透性測(cè)試；

——檢查云服務(wù)商收到的滲透性測(cè)試報(bào)告，查看其是否按照所定義的約束條件以及廣度和深度執(zhí)行

滲透性測(cè)試。

6.10.2.2.6對(duì)f）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商分析所提供的硬

件、軟件和固件容易受到攻擊的脆弱點(diǎn)的內(nèi)容；

——檢查云服務(wù)商收到的脆弱點(diǎn)分析報(bào)告等相關(guān)文檔，查看開發(fā)商是否進(jìn)行了脆弱點(diǎn)分析，并對(duì)已

開發(fā)完成的信息系統(tǒng)、組件或服務(wù)執(zhí)行測(cè)試或評(píng)估。

6.10.2.2.7對(duì)g）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商驗(yàn)證安全措施測(cè)

試或評(píng)估的廣度和深度，是否要求開發(fā)商驗(yàn)證安全措施測(cè)試或評(píng)估過程滿足所定義的廣度和深

度要求；

——檢查云服務(wù)商收到的測(cè)試或評(píng)估報(bào)告，查看其是否滿足云服務(wù)商定義的廣度和深度要求。

6.10.3高級(jí)要求

6.10.3.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.10.3的a）、b）、c）、d）。

6.10.3.2評(píng)估方法

6.10.3.2.1對(duì)a）中條款1）2）的評(píng)估方法如下。

——對(duì)條款1）的評(píng)估方法為：

檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了第三方的獨(dú)立性準(zhǔn)

則；是否要求選擇獨(dú)立第三方驗(yàn)證開發(fā)商實(shí)施安全評(píng)估計(jì)劃的正確性以及在安全測(cè)試或評(píng)

估過程中產(chǎn)生的證據(jù)；

檢查云服務(wù)商提供的第三方資質(zhì)證明等相關(guān)材料，查看云服務(wù)商是否按照所定義的獨(dú)立性

準(zhǔn)則選擇第三方。

——對(duì)條款2）的評(píng)估方法為：

檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對(duì)開發(fā)商進(jìn)行評(píng)估時(shí)，

確保獨(dú)立第三方能夠獲得足夠的資料來完成驗(yàn)證過程，或已被授予獲得此類信息的訪問權(quán)

限的要求；

訪談系統(tǒng)安全負(fù)責(zé)人或獨(dú)立第三方等相關(guān)人員，詢問其獨(dú)立第三方對(duì)開發(fā)商進(jìn)行安全評(píng)估

的情況；

檢查云服務(wù)商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨(dú)立第三方完成驗(yàn)證過

程，或已被授予獲得所需信息的訪問權(quán)限。

6.10.3.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了人工代碼審查過程、規(guī)

程或技術(shù)，是否定義了需實(shí)施人工代碼審查的特定代碼；是否要求開發(fā)商對(duì)所定義的特定代碼

實(shí)施人工代碼審查；是否要求開發(fā)商提供易于理解的審查結(jié)果；是否要求云服務(wù)商使用通過開

發(fā)商審查的代碼可重構(gòu)系統(tǒng)；

17

GB/T34942—XXXX

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其人工代碼審查情況和系統(tǒng)

重構(gòu)情況；

——檢查云服務(wù)商收到的人工代碼審查結(jié)果，查看開發(fā)商是否實(shí)施了人工代碼審查。

6.10.3.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的

開發(fā)商在運(yùn)行階段使用動(dòng)態(tài)代碼分析工具識(shí)別常見缺陷，并記錄分析結(jié)果；

——檢查云服務(wù)商收到的動(dòng)態(tài)代碼分析結(jié)果，查看開發(fā)商是否使用動(dòng)態(tài)代碼分析工具識(shí)別了常見缺

陷并記錄了分析結(jié)果；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其動(dòng)態(tài)代碼分析工具情況。

6.10.3.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務(wù)的

開發(fā)商在系統(tǒng)生命周期中采用技術(shù)手段對(duì)信息系統(tǒng)、組件或服務(wù)開展高彈性或高韌性測(cè)試；是

否要求測(cè)試達(dá)到驗(yàn)證信息系統(tǒng)是否對(duì)故障異常情況具有較強(qiáng)的恢復(fù)能力和主動(dòng)識(shí)別并修復(fù)壓

力環(huán)境下故障問題的效果；

——訪談云服務(wù)商的系統(tǒng)安全負(fù)責(zé)人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其高彈性或高韌性測(cè)試情

況；

——檢查云服務(wù)商收到的高彈性或高韌性測(cè)試報(bào)告，查看開發(fā)商是否進(jìn)行了相關(guān)測(cè)試，測(cè)試結(jié)果是

否達(dá)到了驗(yàn)證信息系統(tǒng)對(duì)故障異常情況具有較強(qiáng)恢復(fù)能力，以及主動(dòng)識(shí)別并修復(fù)壓力環(huán)境下故

障問題的效果。

6.11開發(fā)商提供的培訓(xùn)

6.11.1一般要求

6.11.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023的6.11.1。

6.11.1.2評(píng)估方法

評(píng)估方法如下：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商提供的有助于正確

使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制的培訓(xùn)；

——訪談云服務(wù)商的維護(hù)人員等相關(guān)人員，詢問培訓(xùn)實(shí)施情況；

——檢查培訓(xùn)記錄等相關(guān)文檔，查看開發(fā)商是否實(shí)施了所定義的培訓(xùn)。

6.11.2增強(qiáng)要求

無。

6.11.3高級(jí)要求

無。

6.12組件真實(shí)性

6.12.1一般要求

無。

6.12.2增強(qiáng)要求

6.12.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.12.2的a）、b）、c）、d）、e）和f）。

18

GB/T34942—XXXX

6.12.2.2評(píng)估方法

6.12.2.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有制定和實(shí)施防贗品策略與規(guī)

程的要求，是否有檢測(cè)并防止贗品組件進(jìn)入信息系統(tǒng)的要求；

——訪談系統(tǒng)安全負(fù)責(zé)人或負(fù)責(zé)采購業(yè)務(wù)的人員等相關(guān)人員，詢問其檢測(cè)并防止贗品組件進(jìn)入信息

系統(tǒng)的措施。

6.12.2.2.2對(duì)b）的評(píng)估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否有向正品廠商、相關(guān)外部機(jī)構(gòu)、云服務(wù)商安全

責(zé)任部門或相關(guān)人員報(bào)告贗品組件的內(nèi)容；

——訪談云服務(wù)商安全責(zé)任部門或相關(guān)人員，詢問其贗品組件報(bào)告情況；

——檢查報(bào)告贗品組件的記錄等相關(guān)文檔，查看其是否按照要求報(bào)告，并將贗品率考慮納入供應(yīng)商

考核范圍。

6.12.2.2.3對(duì)c）的評(píng)估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了進(jìn)行贗品組件檢測(cè)培訓(xùn)的人員或角色；

——訪談所要求接受培訓(xùn)的人員或角色，詢問其贗品組件檢測(cè)的培訓(xùn)情況；

——檢查有關(guān)贗品組件檢測(cè)的培訓(xùn)記錄，查看其是否對(duì)所明確的人員或角色進(jìn)行了培訓(xùn)。

6.12.2.2.4對(duì)d）的評(píng)估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了在等待服務(wù)或維修，以及已送修的組件

返回時(shí)，需進(jìn)行配置檢查的關(guān)鍵組件；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其檢查關(guān)鍵組件配置的情況；

——檢查云服務(wù)商收到的相關(guān)記錄，查看其是否按照要求保持檢查關(guān)鍵組件配置。

6.12.2.2.5對(duì)e）的評(píng)估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了銷毀廢棄信息系統(tǒng)組件的技術(shù)和方法；

——訪談系統(tǒng)安全負(fù)責(zé)人等相關(guān)人員，詢問其廢棄的系統(tǒng)組件銷毀情況；

——檢查銷毀廢棄信息系統(tǒng)組件的記錄等相關(guān)文檔，查看其是否使用所明確的技術(shù)和方法銷毀廢棄

的信息系統(tǒng)組件。

6.12.2.2.6對(duì)f）的評(píng)估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否定義了檢查信息系統(tǒng)中贗品組件的頻率；

——檢查信息系統(tǒng)中贗品組件的檢查記錄等相關(guān)文檔，查看其是否按照定義的頻率執(zhí)行。

6.12.3高級(jí)要求

無。

6.13不被支持的系統(tǒng)組件

6.13.1一般要求

無。

6.13.2增強(qiáng)要求

6.13.2.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.13.2。

6.13.2.2評(píng)估方法

評(píng)估方法如下：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有系統(tǒng)組件不被支持時(shí)替換該

系統(tǒng)組件，或當(dāng)因業(yè)務(wù)需要等原因需繼續(xù)使用時(shí)，提供正當(dāng)理由并經(jīng)過本組織領(lǐng)導(dǎo)層的批準(zhǔn)，

并為不被支持的系統(tǒng)組件提供內(nèi)部支持或來自其他外部提供商支持的要求；

19

GB/T34942—XXXX

——訪談系統(tǒng)安全負(fù)責(zé)人或維護(hù)人員等相關(guān)人員，詢問其是否有替換系統(tǒng)組件的情況，以及系統(tǒng)組

件不被提供支持時(shí)替換該組件的處理情況；

——檢查系統(tǒng)組件替換方案、資產(chǎn)清單和組件替換記錄等相關(guān)文檔，查看云服務(wù)商是否定期對(duì)系統(tǒng)

組件進(jìn)行分析，當(dāng)發(fā)現(xiàn)存在系統(tǒng)組件不被支持時(shí)及時(shí)替換該系統(tǒng)組件；

——檢查批準(zhǔn)記錄或?qū)Σ槐恢С值南到y(tǒng)組件提供支持的協(xié)議等相關(guān)文檔，查看當(dāng)因業(yè)務(wù)需要等原因

需繼續(xù)使用不被支持的系統(tǒng)組件時(shí)，是否提供了正當(dāng)理由并經(jīng)批準(zhǔn)，并提供了內(nèi)部或外部相關(guān)

支持。

6.13.3高級(jí)要求

無。

6.14供應(yīng)鏈保護(hù)

6.14.1一般要求

6.14.1.1評(píng)估內(nèi)容

詳見GB/T31168—2023中6.14.1的a）、b）、c）、d）和e）。

6.14.1.2評(píng)估方法

6.14.1.2.1對(duì)a）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否對(duì)供應(yīng)鏈過程和參與者進(jìn)行唯

一標(biāo)識(shí)，并建立管理操作規(guī)程，是否明確以下事項(xiàng)：

1）供應(yīng)鏈過程，包括硬件、軟件和固件開發(fā)過程，運(yùn)輸和裝卸過程，人員和物理安全程序，

以及涉及到供應(yīng)鏈單元生產(chǎn)或發(fā)布的其他程序；

2）供應(yīng)鏈參與者指供應(yīng)鏈中具有特定角色和責(zé)任的獨(dú)立個(gè)體；

——檢查云服務(wù)商供應(yīng)鏈管理操作規(guī)程和相關(guān)記錄，查看其對(duì)供應(yīng)鏈的管理情況，以及對(duì)供應(yīng)鏈過

程和參與者進(jìn)行唯一標(biāo)識(shí)的執(zhí)行情況。

6.14.1.2.2對(duì)b）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求識(shí)別對(duì)云計(jì)算服務(wù)的安全

性存在重要影響的外包服務(wù)或采購產(chǎn)品；

——檢查云服務(wù)商的外包服務(wù)或采購產(chǎn)品清單，查看其是否識(shí)別出對(duì)云計(jì)算服務(wù)的安全性存在重要

影響的外包服務(wù)或采購產(chǎn)品清單。

6.14.1.2.3對(duì)c）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了需通過國家規(guī)定的檢測(cè)

認(rèn)證的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品；

——檢查所定義的重要設(shè)備通過信息安全檢測(cè)的證書/報(bào)告或者國家正式發(fā)布的檢測(cè)認(rèn)證結(jié)果清

單，查看其是否通過了通過國家規(guī)定的檢測(cè)認(rèn)證。

注：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品范圍詳見國家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)

可監(jiān)督管理委員會(huì)等部門發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》。

6.14.1.2.4對(duì)d）的評(píng)估方法為：

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求運(yùn)輸或倉儲(chǔ)時(shí)使用防篡改

包裝（如防偽標(biāo)簽、安全封條、中性化包裝），是否要求對(duì)包裝物的封箱、開箱過程進(jìn)行監(jiān)督

和記錄，是否要求對(duì)封條使用和貨柜安全操作建立指導(dǎo)性規(guī)程；

——訪談設(shè)備管理員或倉庫管理員等相關(guān)人員，詢問云計(jì)算相關(guān)軟硬件在運(yùn)輸或倉儲(chǔ)時(shí)采用的防篡

改措施；

——檢查云計(jì)算相關(guān)軟硬件在運(yùn)輸或倉儲(chǔ)時(shí)使用的防篡改措施及記錄。

6.14.1.2.5對(duì)e）的評(píng)估方法為：

20

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應(yīng)鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求當(dāng)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)

可能影響國家安全的，需通過網(wǎng)絡(luò)安全審查。

——檢查云服務(wù)商收到的相關(guān)安全性分析報(bào)告或?qū)彶橛涗?，查看其是否?duì)可能影響國家安全的網(wǎng)絡(luò)

產(chǎn)品和服務(wù)通過網(wǎng)絡(luò)安全審查。

6