《信息安全技術(shù) 云計算服務安全能力評估方法》

GB/T34942—XXXX

信息安全技術(shù)云計算服務安全能力評估方法

1范圍

本文件給出了依據(jù)GB/T31168—2023《信息安全技術(shù)云計算服務安全能力要求》開展評估的原則、

實施過程以及針對各項具體安全要求進行評估的方法。

本文件適用于第三方評估機構(gòu)對云服務商提供云計算服務時具備的安全能力進行評估，云服務商在

進行自評估時也可參考。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T31167—2023信息安全技術(shù)云計算服務安全指南

GB/T31168—2023信息安全技術(shù)云計算服務安全能力要求

GB/T37972—2019信息安全技術(shù)云計算服務運行監(jiān)管框架

3術(shù)語和定義

GB/T25069、GB/T31167—2023和GB/T31168—2023界定的以及下列術(shù)語和定義適用于本文件。

為便于使用，重復列出了部分術(shù)語和定義。

3.1

云計算cloudcomputing

通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬資源池，并按需自助獲取和管理的模式。

[來源：GB/T31168—2023，3.1]

注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。

3.2

云計算服務cloudcomputingservice

使用定義的接口，借助云計算（3.1）提供一種或多種資源的能力。

[來源：GB/T31168—2023，3.2]

3.3

云服務商cloudserviceprovider

提供云計算服務（3.2）的參與方。

[來源：GB/T31168—2023，3.3]

3.4

云服務客戶cloudservicecustomer

為使用云計算服務（3.2）而處于一定業(yè)務關(guān)系中的參與方。

注1：業(yè)務關(guān)系不一定包含經(jīng)濟條款。

注2：本文件中云服務客戶簡稱客戶。

[來源：GB/T31168—2023，定義3.4]

1

GB/T34942—XXXX

3.5

第三方評估機構(gòu)thirdpartyassessmentorganization(3PAO）

獨立于云計算服務提供方和使用方的專業(yè)評估機構(gòu)。

[來源：GB/T31167—2023，3.6]

3.6

云計算平臺cloudcomputingplatform

云服務商提供的云基礎設施及其上的服務軟件的集合。

[來源：GB/T31167—2023，3.8]

3.7

外部信息系統(tǒng)ExternalInformationSystem

云計算平臺之外的信息系統(tǒng)。

注：外部信息系統(tǒng)的所有權(quán)、控制權(quán)一般不由云服務商掌握，其安全措施的使用或有效性不由云服務商直接控制。

[來源：GB/T31168—2023，3.9]

3.8

評估活動assessmentactivity

評估過程中的一組任務。

3.9

評估方法assessmentmethod

評估過程中使用的一般描述的操作邏輯序列。

3.10

評估人員assessmentperson

執(zhí)行評估活動的個人。

4縮略語

API：應用程序編程接口（applicationprogramminginterface）

CPU：中央處理單元（centralprocessingunit）

DDoS：分布式拒絕服務（distributeddenialofservice）

Hypervisor：虛擬機監(jiān)視器（virtualmachinemonitor）

SLA：服務水平協(xié)議（service-levelagreement）

USB：通用串行總線（universalserialbus）

VPC：虛擬私有云（virtualprivatecloud）

VPN：虛擬專用網(wǎng)（virtualprivatenetwork）

5概述

5.1評估原則

第三方評估機構(gòu)在評估時應遵循客觀公正、可重用、可重復和可再現(xiàn)、靈活、最小影響及保密的原

則。

客觀公正是指第三方評估機構(gòu)在評估活動中應充分收集證據(jù)，對云計算服務安全措施的有效性和云

計算平臺的安全性做出客觀公正的判斷。

2

GB/T34942—XXXX

可重用是指在適用的情況下，第三方評估機構(gòu)對云計算平臺中使用的系統(tǒng)、組件或服務等參考其已

有的評估結(jié)果。

可重復和可再現(xiàn)是指在相同的環(huán)境下，不同的評估人員依照同樣的要求，使用同樣的方法，對每個

評估實施過程的重復執(zhí)行都應得到同樣的評估結(jié)果。

靈活是指在云服務商進行安全措施裁剪、替換等情況下，第三方評估機構(gòu)應根據(jù)具體情況制定評估

用例并進行評估。

最小影響是指第三方評估機構(gòu)在評估時盡量小地影響云服務商現(xiàn)有業(yè)務和系統(tǒng)的正常運行，最大程

度降低對云服務商的風險。

保密原則是指第三方評估機構(gòu)應對涉及云服務商利益的商業(yè)信息以及云服務客戶信息等嚴格保密。

5.2評估內(nèi)容

第三方評估機構(gòu)依據(jù)國家相關(guān)規(guī)定和GB/T31168—2023，主要對系統(tǒng)開發(fā)與供應鏈安全、系統(tǒng)與通

信保護、訪問控制、數(shù)據(jù)保護、配置管理、維護管理、應急響應、審計、風險評估與持續(xù)監(jiān)控、安全組

織與人員、物理與環(huán)境安全等安全措施實施情況進行評估。

第三方評估機構(gòu)在開展安全評估工作中宜綜合采用訪談、檢查和測試等基本評估方法，以核實云服

務商的云計算服務安全能力是否達到了一般安全能力、增強安全能力或高級安全能力。在評估增強要求

時，一般要求應首先得到滿足，在評估高級要求時，一般要求和增強要求應首先得到滿足。

訪談是指評估人員對云服務商等相關(guān)人員進行談話的過程，對云計算服務安全措施實施情況進行了

解、分析和取得證據(jù)。訪談的對象為個人或團體，例如：信息安全的第一負責人、人事管理相關(guān)人員、

系統(tǒng)安全負責人、網(wǎng)絡管理員、系統(tǒng)管理員、賬號管理員、安全管理員、安全審計員、維護人員、系統(tǒng)

開發(fā)人員、物理安全負責人和用戶等。

檢查是指評估人員通過對管理制度、安全策略和機制、安全配置和設計文檔、運行記錄等進行觀察、

查驗、分析以幫助評估人員理解、分析和取得證據(jù)的過程。檢查的對象為規(guī)范、機制和活動，例如：評

審信息安全策略規(guī)劃和程序；分析系統(tǒng)的設計文檔和接口規(guī)范；觀測系統(tǒng)的備份操作；審查應急響應演

練結(jié)果；觀察事件處理活動；研究設計說明書等技術(shù)手冊和用戶/管理員文檔；查看、研究或觀察信息

系統(tǒng)的硬件/軟件中信息技術(shù)機制的運行；查看、研究或觀察信息系統(tǒng)運行相關(guān)的物理安全措施等。

測試是指評估人員進行技術(shù)測試（包括滲透測試），通過人工或自動化安全測試工具獲得相關(guān)信息，

并進行分析以幫助評估人員獲取證據(jù)的過程。測試的對象為機制和活動，例如：訪問控制、身份鑒別和

驗證、審計機制；測試安全配置設置，測試物理訪問控制設備；進行信息系統(tǒng)的關(guān)鍵組成部分的滲透測

試，測試信息系統(tǒng)的備份操作；測試事件處理能力、應急響應演練能力等。

5.3評估證據(jù)

評估證據(jù)是指對評估結(jié)果起到佐證作用的任何實體，包括但不限于各種文檔、圖片、錄音、錄像、

實物等，其載體可以是任何能夠保存的形式，包括但不限于紙質(zhì)的、電子的等。證據(jù)是在評估活動的過

程中篩選或生成而來。所有評估活動產(chǎn)生的結(jié)果都應有相應的證據(jù)支持。證據(jù)應得到妥善保管，以防止

篡改、泄密、損壞、丟失等有損證據(jù)的行為。

5.4評估實施過程

評估實施過程主要包括：評估準備、方案編制、現(xiàn)場實施和分析評估四個階段，與云服務商的溝通

與洽談貫穿整個過程，評估實施過程見圖1。

3

GB/T34942—XXXX

在評估準備階段，第三方評估機構(gòu)應接收云服務商提交的《系統(tǒng)安全計劃》，從內(nèi)容完整性和準確

性等方面審核《系統(tǒng)安全計劃》，審核通過后，第三方評估機構(gòu)與云服務商溝通被測對象、擬提供的證

據(jù)、評估進度等相關(guān)信息，并組建評估實施團隊。

在方案編制階段，第三方評估機構(gòu)應確定評估對象、評估內(nèi)容和評估方法，并根據(jù)需要選擇、調(diào)整、

開發(fā)和優(yōu)化測試用例，形成相應安全評估方案。此階段根據(jù)具體情況，可能還需要進行現(xiàn)場調(diào)研，主要

目的是：確定評估邊界和范圍，了解云服務商的系統(tǒng)運行狀況、安全機構(gòu)、制度、人員等現(xiàn)狀，以便制

定安全評估方案。

4

GB/T34942—XXXX

在現(xiàn)場實施階段，第三方評估機構(gòu)主要依據(jù)《系統(tǒng)安全計劃》等文檔，針對系統(tǒng)開發(fā)與供應鏈安全、

系統(tǒng)與通信保護、訪問控制、數(shù)據(jù)保護、配置管理、維護管理、應急響應、審計、風險評估與持續(xù)監(jiān)控、

安全組織與人員、物理與環(huán)境安全等方面的安全措施實施情況進行評估。該階段主要由云服務商提供安

全措施實施的證據(jù)，第三方評估機構(gòu)審核證據(jù)并根據(jù)需要進行測試。必要時，應要求云服務商補充相關(guān)

證據(jù)，雙方對現(xiàn)場實施結(jié)果進行確認。

在分析評估階段，第三方評估機構(gòu)應對現(xiàn)場實施階段所形成的證據(jù)進行分析，首先給出對每項安要

求的判定結(jié)果。在GB/T31168—2023的5.6中，云服務商安全要求實現(xiàn)情況包括：滿足、部分滿足、替代

滿足、計劃滿足、不滿足和不適用。第三方評估機構(gòu)在判定時，計劃滿足視為不滿足，替代滿足視為滿

足。第三方評估機構(gòu)在判定是否滿足適用的安全要求時，如有測試和檢查，原則上測試結(jié)果和檢查結(jié)果

滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測試有檢查，原則上檢查結(jié)果滿足安全要

求的視為滿足，否則視為不滿足或部分滿足。若無測試無檢查，訪談結(jié)果滿足安全要求的視為滿足，否

則視為不滿足或部分滿足。然后進行綜合評估，根據(jù)對每項安全要求的判定結(jié)果，參照相關(guān)國家標準進

行風險評估，最后綜合各項評估結(jié)果形成安全評估報告，給出是否達到GB/T31168—2023相應能力要求

的評估結(jié)論。

注：替代滿足指云服務商采取的安全措施不滿足對應要求項，但實現(xiàn)效果基本相同。計劃滿足指云服務商目前未采

取安全措施以滿足對應安全要求，并明確了進度安排以及在此期間的風險管控措施。不適用是指由于云計算服務能力類

型、服務模式、部署模式及客戶需求的不同，GB/T31168—2023的某項或某些項安全要求不適合某個云計算服務。

在云服務商通過安全評估后，并與客戶簽訂合同提供服務時，第三方評估機構(gòu)也可按照相關(guān)規(guī)定、

客戶委托或其它情況積極參與和配合運行監(jiān)管工作，具體實施應參照GB/T31167—2023及GB/T

37972—2019運行監(jiān)管相關(guān)規(guī)定。

5.5綜合評估

綜合評估是在得出單項要求判定結(jié)果后進行。單項要求的判定結(jié)果為滿足、部分滿足、不滿足和不

適用其中之一。對于單項要求為不適用的，第三方評估機構(gòu)應參照GB/T31168—2023附錄B給出的不同

云能力類型下不適用項的識別原則進行統(tǒng)一判斷。對于單項要求中涉及到賦值和選擇的，第三方評估機

構(gòu)應結(jié)合云服務商具體應用場景，判斷其賦值和選擇是否合理。

得出單項要求判定結(jié)果后，第三方評估機構(gòu)對每一類安全要求中，所有單項要求為“滿足”之外其

他判定結(jié)果的要求項進行關(guān)聯(lián)風險分析，得出該類安全要求所面臨的低風險、中風險和高風險的分析結(jié)

論。附錄A給出了每類安全要求中常見的脆弱性問題，在進行風險分析識別脆弱性時可參考。

注：高風險是指遭到破壞后，云服務的安全性面臨特別嚴重損害，業(yè)務持續(xù)性可能全部中斷，且恢復時間較長。中

風險是指遭到破壞后，云服務的安全性面臨嚴重損害，業(yè)務持續(xù)性可能全部或者部分中斷，可在可控的時間內(nèi)恢復。低

風險是指遭到破壞后，云服務的安全性面臨損害，業(yè)務持續(xù)性可能部分中斷，且可較快恢復。

最后，第三方評估機構(gòu)根據(jù)風險項情況得出結(jié)論。對于存在高風險項的云服務，視為不滿足該等級

安全能力要求。對于存在多個中風險項，且關(guān)聯(lián)分析后可能導致高風險的云服務，也視為不滿足該等級

安全能力要求。對于不存在高風險項，多個中風險項關(guān)聯(lián)分析后也不導致高風險的云服務，視為滿足該

等級安全能力要求。

注：在進行風險分析時，需注意結(jié)合具體應用場景等相關(guān)因素綜合分析，分析結(jié)果盡量客觀準確。

5

GB/T34942—XXXX

6系統(tǒng)開發(fā)與供應鏈安全評估方法

6.1資源分配

6.1.1一般要求

6.1.1.1評估內(nèi)容

詳見GB/T31168—2023中6.1.1的a）和b）。

6.1.1.2評估方法

6.1.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有確定并分配為保護信息系統(tǒng)

和服務所需資源（如有關(guān)資金、場地、人力等）的要求；

——訪談網(wǎng)絡安全的第一責任人或系統(tǒng)安全負責人等相關(guān)人員，詢問其保護信息系統(tǒng)和服務所需資

源的落實情況；

——檢查工作計劃、預算管理過程文檔，查看其是否有保護信息系統(tǒng)和服務所需資源（如有關(guān)資金、

場地、人力等）的內(nèi)容。

6.1.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在工作計劃或預算文件中，

將網(wǎng)絡安全作為單列項予以考慮的要求；

——檢查工作計劃或預算文件，查看其是否將網(wǎng)絡安全作為單列項予以說明。

6.1.2增強要求

無。

6.1.3高級要求

無。

6.2系統(tǒng)生命周期

6.2.1一般要求

6.2.1.1評估內(nèi)容

詳見GB/T31168—2023中6.2.1的a）、b）、c）和d）。

6.2.1.2評估方法

6.2.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期，如

規(guī)劃階段、設計階段、實施階段、運維階段、廢止階段等；是否將網(wǎng)絡安全納入所定義的系統(tǒng)

生命周期；

——訪談網(wǎng)絡安全的第一負責人或系統(tǒng)安全負責人等相關(guān)人員，詢問其安全措施同步規(guī)劃、同步建

設、同步運行的情況；

——檢查云服務商定義的系統(tǒng)生命周期中的各階段相關(guān)文檔（如系統(tǒng)設計方案、上線前測試報告、

試運行報告等），查看其是否明確提出信息系統(tǒng)和服務的安全需求，以確保安全措施同步規(guī)劃、

同步建設、同步運行。

6.2.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有明確整個信息系統(tǒng)生命周期

內(nèi)網(wǎng)絡安全角色和責任的要求，是否有將網(wǎng)絡安全角色明確至相應責任人的要求；

——檢查信息系統(tǒng)生命周期各階段的相關(guān)文檔，查看其是否明確提出各階段的信息安全角色和責

任，是否將各階段的信息安全角色明確至相應責任人。

6.2.1.2.3對c）的評估方法為：

6

GB/T34942—XXXX

——檢查系統(tǒng)生命周期各階段開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有將信息安全

風險管理過程集成到系統(tǒng)生命周期活動中的要求；

——檢查信息系統(tǒng)生命周期各階段相關(guān)文檔，查看其是否有信息安全風險管理內(nèi)容，查看其是否有

相應風險評估報告；

——訪談網(wǎng)絡安全的第一責任人或系統(tǒng)安全負責人等相關(guān)人員，詢問其在系統(tǒng)生命周期的各階段中

信息安全風險管理情況。

6.2.1.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否在設計階段制定安全策略和措

施；

——檢查系統(tǒng)建設階段相關(guān)文檔，查看其是否實施分層保護，是否劃定物理和邏輯安全邊界等。

6.2.2增強要求

無。

6.2.3高級要求

無。

6.3采購過程

6.3.1一般要求

6.3.1.1評估內(nèi)容

詳見GB/T31168—2023的6.3.1的a）、b）和c）。

6.3.1.2評估方法

6.3.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有根據(jù)相關(guān)法律、法規(guī)、政策

和標準的要求，以及可能的客戶需求，并在風險評估的基礎上，將安全功能要求、安全強度要

求、安全保障要求、安全相關(guān)文檔要求、保密要求、開發(fā)環(huán)境和預期運行環(huán)境描述、驗收準則、

強制配置要求等內(nèi)容列入采購合同或其他文件的要求；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其是否收集和整理相關(guān)的法律、法規(guī)、政策和標準要求，

并形成合規(guī)文件清單；

——訪談負責采購業(yè)務的相關(guān)人員，詢問其在擬定采購合同之前，是否已充分考慮合規(guī)文件清單、

可能的客戶需求，以及相關(guān)的風險評估結(jié)果；

——檢查采購合同或其他文件，查看其是否包含所要求的內(nèi)容。

6.3.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有與供應商簽訂協(xié)議，明確安

全和保密義務與責任，以及確保供應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈上的有

關(guān)各方的要求；

——訪談負責采購業(yè)務的相關(guān)人員，詢問其是否明確安全和保密義務與責任，是否發(fā)生過供應鏈安

全事件信息，是否將供應鏈安全事件信息或威脅信息及時傳達到供應鏈上的有關(guān)各方；

——檢查采購合同或已簽訂的協(xié)議，查看其是否包含所要求的內(nèi)容；

——檢查安全事件報告或事件處置單等相關(guān)記錄（適用于發(fā)生過供應鏈安全事件），查看是否將供

應鏈安全事件信息或威脅信息及時傳達到供應鏈上的有關(guān)各方。

6.3.1.2.3對c）的評估方法為：

——檢查與供應商簽訂的服務水平協(xié)議和相關(guān)云服務或云產(chǎn)品的可用性指標，查看各類云服務或云

產(chǎn)品的相關(guān)可用性指標是否不低于擬與客戶所簽訂的服務水平協(xié)議中的相關(guān)指標。

7

GB/T34942—XXXX

6.3.2增強要求

6.3.2.1評估內(nèi)容

詳見GB/T31168—2023中6.3.2的a）、b）、c）和d）。

6.3.2.2評估方法

6.3.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商對其使用的安全

措施進行功能描述或機制描述的內(nèi)容；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其有哪些信息系統(tǒng)、組件或服務由開發(fā)商開發(fā)，是否形

成云計算平臺信息系統(tǒng)、組件或服務開發(fā)清單；

——檢查云服務商收到的對安全措施進行功能描述或機制描述的文檔，查看開發(fā)商是否按要求進行

了描述。

6.3.2.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商定義使用的系統(tǒng)

工程方法、軟件開發(fā)方法、測試技術(shù)和質(zhì)量控制過程等保障系統(tǒng)開發(fā)過程質(zhì)量的內(nèi)容，是否有

要求開發(fā)商提供系統(tǒng)開發(fā)過程質(zhì)量保障相關(guān)證據(jù)的內(nèi)容；

——檢查云服務商收到的證據(jù)，查看該證據(jù)是否足以證明開發(fā)商使用了所定義的系統(tǒng)工程方法、軟

件開發(fā)方法、測試技術(shù)和質(zhì)量控制過程等。

6.3.2.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商在交付信息系

統(tǒng)、組件或服務時應實現(xiàn)的安全配置，是否禁用不必要或高風險的功能、端口、協(xié)議或服務，

是否有將這些安全配置作為信息系統(tǒng)、組件或服務在重新安裝或升級時的缺省配置的要求；

——檢查開發(fā)商在交付、重新安裝或升級信息系統(tǒng)、組件或服務時使用的缺省安全配置文件和記錄

等相關(guān)文檔，查看其是否符合云服務商定義的安全配置。

6.3.2.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否制定了對安全措施有效性的持

續(xù)監(jiān)控計劃；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其對安全措施有效性的持續(xù)監(jiān)控計劃的實施情況；

——檢查云服務商收到的證據(jù)，查看該證據(jù)是否足以證明云服務商對安全措施有效性進行持續(xù)監(jiān)

控。

6.3.3高級要求

無。

6.4系統(tǒng)文檔

6.4.1一般要求

6.4.1.1評估內(nèi)容

詳見GB/T31168—2023中6.4.1的a）、b）、c）和d）。

6.4.1.2評估方法

6.4.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計算平臺信

息系統(tǒng)、組件或服務開發(fā)清單中的管理員文檔；

——檢查管理員文檔，查看其是否涵蓋以下信息：

8

GB/T34942—XXXX

1）信息系統(tǒng)、組件或服務的安全配置，以及安裝和運行說明；

2）安全特性或功能的使用和維護說明；

3）與管理功能有關(guān)的配置和使用方面的注意事項。

6.4.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商制定云計算平臺信

息系統(tǒng)、組件或服務開發(fā)清單中的云產(chǎn)品使用文檔，以供用戶使用；

——檢查云產(chǎn)品使用文檔，查看其是否涵蓋以下信息：

1）用戶可使用的安全功能或機制，以及對如何有效使用這些安全功能或機制的說明；

2）有助于用戶更安全地使用信息系統(tǒng)、組件或服務的方法或說明；

3）對用戶安全責任和注意事項的說明。

6.4.1.2.3對c）的評估方法為：

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其是否將開發(fā)商提供的系統(tǒng)配置類文檔和云產(chǎn)品使用文

檔作為重要資產(chǎn)予以識別，并按照風險管理策略進行保護；

——檢查風險管理相關(guān)文檔，查看其是否已識別和保護系統(tǒng)配置類文檔和云產(chǎn)品使用文檔。

6.4.1.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了文檔分發(fā)的人員或角

色；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其開發(fā)商提供的管理員文檔和用戶文檔的分發(fā)范圍，驗

證其是否明確到人員或角色；

——訪談所定義的人員或角色，詢問其是否已接收到相關(guān)文檔；

——檢查分發(fā)記錄，查看其是否按照所定義的人員或角色分發(fā)文檔。

6.4.2增強要求

無。

6.4.3高級要求

無。

6.5關(guān)鍵性分析

6.5.1一般要求

無。

6.5.2增強要求

6.5.2.1評估內(nèi)容

詳見GB/T31168—2023的6.5.2。

6.5.2.2評估方法

6.5.2.2.1評估方法如下：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了系統(tǒng)生命周期中的決策

點，是否定義了在該決策點進行關(guān)鍵性分析的信息系統(tǒng)、組件或服務，以確定關(guān)鍵信息系統(tǒng)組

件和功能；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其進行關(guān)鍵性分析的情況，是否分析了該功能或組件失

效對系統(tǒng)業(yè)務的影響；

——檢查關(guān)鍵性分析報告等相關(guān)文檔，查看其關(guān)鍵性分析的時間點與云服務商定義的系統(tǒng)生命周期

中的決策點是否一致；

——檢查系統(tǒng)設計說明書、關(guān)鍵性分析報告等相關(guān)文檔，查看其是否有關(guān)鍵信息系統(tǒng)組件和功能清

單。

9

GB/T34942—XXXX

6.5.3高級要求

無。

6.6外部服務

6.6.1一般要求

6.6.1.1評估內(nèi)容

詳見GB/T31168—2023中6.6.1的a）、b）、c）和d）。

6.6.1.2評估方法

6.6.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求外部服務（如電信服務、

安全運維、安保服務、安全測評、安全監(jiān)測等）提供商遵從并實施云服務商安全要求的內(nèi)容；

——訪談信息安全的第一負責人或系統(tǒng)安全負責人等相關(guān)人員，詢問其是否有外部服務提供商清

單，以及外部服務提供商遵從并實施云服務商的安全要求的情況；

——檢查外部服務提供商清單、外部服務提供商管理規(guī)定等相關(guān)文檔，查看其是否有相關(guān)要求。

6.6.1.2.2對b）的評估方法為：

——檢查與外部服務提供商的服務合同等相關(guān)文檔，查看其是否明確了外部服務提供商的安全分工

與責任，是否要求外部服務提供商接受相關(guān)客戶監(jiān)督；

——訪談信息安全的第一負責人或系統(tǒng)安全負責人等相關(guān)人員，詢問其外部服務提供商的安全分工

與責任，以及外部服務提供商接受相關(guān)客戶監(jiān)督的情況。

6.6.1.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對外部服務提供商提供的安

全措施合規(guī)性進行持續(xù)監(jiān)控的具體過程、方法和技術(shù)；

——檢查對外部服務提供商提供的安全措施合規(guī)性進行持續(xù)監(jiān)控的計劃和報告，查看其是否按照所

定義的過程、方法和技術(shù)對外部服務提供商提供的安全措施的合規(guī)性進行了持續(xù)監(jiān)控；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其是否具備足夠資源（技術(shù)、人力、場地等），以滿足

對外部服務提供商提供的安全措施的合規(guī)性進行持續(xù)監(jiān)控的需求。

6.6.1.2.4對d）的評估方法為：

——檢查對外部服務提供商的審查報告和資質(zhì)資格證明文件，查看其是否有歷史合作記錄或其資質(zhì)

滿足云服務商所定義的可信賴的條件；

——訪談負責采購業(yè)務的相關(guān)人員，詢問其是否在篩選外部服務提供商時，根據(jù)其資質(zhì)情況和歷史

合作記錄進行過篩查審核。

6.6.2增強要求

6.6.2.1評估內(nèi)容

詳見GB/T31168—2023中6.6.2的a）、b）、c）、d）、e）和f）。

6.6.2.2評估方法

6.6.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了擬采購或外包的安全服

務（如應急保障服務等），是否要求針對該安全服務進行風險評估；

——訪談系統(tǒng)安全負責人或負責采購業(yè)務的相關(guān)人員，詢問其在采購或外包安全服務之前，是否對

其進行風險評估；

——檢查風險評估報告，查看其是否按要求進行了風險評估。

6.6.2.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了批準擬采購或外包安全

10

GB/T34942—XXXX

服務的安全責任部門以及相關(guān)人員或角色；

——檢查審批記錄，查看其是否由所定義的安全責任部門以及相關(guān)人員或角色予以批準。

6.6.2.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了外部服務，是否要求外

部服務提供商以文檔形式具體說明該外部服務涉及的功能、端口、協(xié)議和其他服務；

——檢查外部服務提供商提供的說明文檔，查看其是否對所定義的外部服務涉及的功能、端口、協(xié)

議和其他服務予以說明。

6.6.2.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了用于保持與外部服務提

供商的信任關(guān)系的安全要求、屬性、因素或者其他條件，例如外部服務提供商已獲得的各類資

質(zhì)、與云服務商存在戰(zhàn)略合作或投資關(guān)系等；

——訪談系統(tǒng)安全負責人或負責采購業(yè)務的人員等相關(guān)人員，詢問其保持與外部服務提供商信任關(guān)

系的方法，查看該方法是否屬于所定義的安全要求、屬性、因素或者其他條件。

6.6.2.2.5對e）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否根據(jù)評估情況定義了安全措

施，以防止外部服務提供商損害本組織的利益，安全措施可以是：

1）對外部服務提供商所提供的服務人員進行人員背景審查，或要求外部服務提供商提供可信

的人員背景審查結(jié)果；

2）檢查外部服務提供商資本變更記錄；

3）定期或不定期檢查外部服務提供商的設施。

——檢查云服務商采取的安全措施的實施記錄等相關(guān)文檔，查看其是否實際實施；

——訪談系統(tǒng)安全負責人、負責采購業(yè)務的人員等相關(guān)人員，詢問其針對不同外部服務提供商所采

取的安全防護措施落實情況。

6.6.2.2.6對f）的評估方法為：

——檢查合同、系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了限制信息處理/

信息或數(shù)據(jù)/信息系統(tǒng)服務地點的要求或條件；

——訪談系統(tǒng)安全負責人或負責采購業(yè)務的人員等相關(guān)人員，詢問其限制外部服務提供商信息處

理、信息或數(shù)據(jù)存儲、信息系統(tǒng)服務地點的安全措施，查看其是否符合所定義的要求或條件。

6.6.3高級要求

無。

6.7開發(fā)商安全體系架構(gòu)

6.7.1一般要求

無。

6.7.2增強要求

6.7.2.1評估內(nèi)容

詳見GB/T31168—2023中6.7.2的a）、b）和c）。

6.7.2.2評估方法

6.7.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定設計規(guī)范和安全架構(gòu)，是

否要求該架構(gòu)符合下列條件：

1）該架構(gòu)能夠清晰體現(xiàn)信息系統(tǒng)的安全防護、技術(shù)運維和安全管理體系，并符合或支持云服

11

GB/T34942—XXXX

務商的整體安全架構(gòu)；

2）準確完整地描述了所需的安全功能，并為物理和邏輯組件分配了安全措施；

3）說明各項安全功能、機制和服務如何協(xié)同工作，以提供完整一致的保護能力。

——檢查云服務商收到的設計規(guī)范和安全架構(gòu)以及云服務商的安全架構(gòu)相關(guān)文檔，查看其是否符合

上述1）、2）和3）的要求。

6.7.2.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程，查看其是否有要求開發(fā)商提供云服務所需的與安全相

關(guān)的硬件、軟件和固件的相關(guān)信息說明的內(nèi)容；

——檢查云服務商收到的相關(guān)文檔，例如設計規(guī)范、管理員文檔等，查看其是否符合要求。

6.7.2.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程，查看其是否要求開發(fā)商編制非形式化的高層說明書，

說明安全相關(guān)的硬件、軟件和固件的接口；是否要求開發(fā)商通過非形式化的證明，說明該高層

說明書完全覆蓋了與安全相關(guān)的硬件、軟件和固件的接口；

——檢查云服務商收到的非形式化高層說明書，查看其是否說明安全相關(guān)的硬件、軟件和固件的接

口；

——檢查云服務商收到的非形式化的證明文檔，查看其是否完全覆蓋了與安全相關(guān)的硬件、軟件和

固件的接口。

6.7.3高級要求

無。

6.8開發(fā)過程、標準和工具

6.8.1一般要求

無。

6.8.2增強要求

6.8.2.1評估內(nèi)容

詳見GB/T31168—2023中6.8.2的a）、b）、c）、d）、e）、f）、g）和h）。

6.8.2.2評估方法

6.8.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程，查看其是否要求開發(fā)商制定開發(fā)規(guī)范，是否要求在開

發(fā)規(guī)范中明確以下事項：

1）所開發(fā)系統(tǒng)的安全需求；

2）開發(fā)過程中使用的標準和工具；

3）開發(fā)過程中使用的特定工具選項和工具配置；

——檢查云服務商收到的開發(fā)規(guī)范，查看其是否明確了上述相應事項。

6.8.2.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否規(guī)定了檢查質(zhì)量度量標準落實

情況的節(jié)點，是否要求開發(fā)商在開發(fā)過程的初始階段定義檢查質(zhì)量度量標準，是否要求在規(guī)定

的節(jié)點檢查質(zhì)量度量標準的落實情況；

——檢查云服務商收到的開發(fā)規(guī)范等相關(guān)文檔，查看開發(fā)商在開發(fā)過程的初始階段是否定義了質(zhì)量

度量標準；

——檢查云服務商收到的開發(fā)規(guī)范、設計文檔、測評文檔等相關(guān)文檔，查看其是否按要求落實了質(zhì)

量度量標準；

12

GB/T34942—XXXX

——訪談云服務商的系統(tǒng)安全負責人或負責質(zhì)量管理的人員等相關(guān)人員，詢問其質(zhì)量度量標準的落

實情況。

6.8.2.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商明確安全問題追蹤

工具，是否要求開發(fā)商在開發(fā)過程期間使用；

——檢查云服務商收到的安全問題追蹤清單及工具使用記錄，查看其是否按要求使用。

6.8.2.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了對信息系統(tǒng)進行威脅和

脆弱性分析的廣度和深度；

——檢查威脅和脆弱性分析報告等相關(guān)文檔，查看其是否按照所定義的廣度和深度對信息系統(tǒng)進行

威脅和脆弱性分析。

6.8.2.2.5對e）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了信息系統(tǒng)、組件或服務

的開發(fā)商執(zhí)行的漏洞分析工具，是否定義了工具的輸出和分析結(jié)果提交的人員和角色;

——檢查漏洞分析記錄，查看開發(fā)商是否使用所定義的工具執(zhí)行漏洞分析，明確漏洞利用的可能性，

確定漏洞消減措施；

——訪談所定義的人員或角色，詢問其接收工具輸出和分析結(jié)果的情況。

6.8.2.2.6對f）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務的

開發(fā)商即使在交付信息系統(tǒng)、組件或服務后，也跟蹤漏洞情況。

——訪談云服務商的系統(tǒng)安全負責人或安全管理員，詢問其信息系統(tǒng)、組件或服務的開發(fā)商是否在

發(fā)布漏洞補丁前提前通知云服務商，且將漏洞補丁交由云服務商審查、驗證并允許云服務商自

行安裝。

——檢查云服務商收到的發(fā)布漏洞補丁的通知、漏洞補丁審查及安裝等相關(guān)記錄，查看其是否按照

要求進行通知、驗證。

6.8.2.2.7對g）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務

的開發(fā)和測試環(huán)境使用生產(chǎn)數(shù)據(jù)時，先行批準、記錄并進行保護的相關(guān)內(nèi)容；

——檢查云服務商使用生產(chǎn)數(shù)據(jù)的相關(guān)記錄，查看其是否按照要求進行審批、記錄和保護。

6.8.2.2.8對h）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求信息系統(tǒng)、組件或服務

的開發(fā)商制定應急預案。

——檢查云服務商應急響應計劃，查看其是否將信息系統(tǒng)、組件或服務的開發(fā)商制定的應急預案納

入其中。

6.8.3高級要求

無。

6.9開發(fā)過程配置管理

6.9.1一般要求

6.9.1.1評估內(nèi)容

詳見GB/T31168—2023中6.9.1的a）、b）、c）、d）和e）。

6.9.1.2評估方法

6.9.1.2.1對a）的評估方法為：

13

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在信息系統(tǒng)、組

件或服務的設計、開發(fā)、實現(xiàn)或運行過程中實施配置管理的內(nèi)容；

——檢查云服務商收到的配置管理相關(guān)文檔，例如配置管理計劃，查看配置管理文檔是否涉及了設

計、開發(fā)、實現(xiàn)或運行過程。

6.9.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商需要記錄、管理

和控制的配置項；是否要求形成基本配置信息庫；是否有要求開發(fā)商記錄、管理和控制配置項

變更完整性的內(nèi)容；配置項包括但不限于：形式化模型、功能、高層設計說明書、低層設計說

明書、其他設計數(shù)據(jù)、實施文檔、源代碼和硬件原理圖、目標代碼的運行版本、版本對比工具、

測試設備和文檔；

——檢查云服務商的基本配置信息庫，查看其配置項及配置信息是否符合要求；

——檢查云服務商保存的配置項變更記錄，查看其所定義的配置項的變更記錄內(nèi)容是否缺失、記錄

留存時間是否滿足管理要求。

6.9.1.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商得到批準后，才

能對所提供的信息系統(tǒng)、組件或服務進行配置項變更的內(nèi)容；

——檢查云服務商收到的配置項變更記錄等相關(guān)文檔，例如配置項變更申請表，查看變更是否得到

云服務商的批準。

6.9.1.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商記錄對信息系

統(tǒng)、組件或服務的變更及其所產(chǎn)生的安全影響的內(nèi)容；

——檢查云服務商收到的配置項變更記錄等相關(guān)文檔，查看其是否對變更產(chǎn)生的安全影響進行了分

析；

——檢查云服務商的基本配置信息庫和收到的配置項變更記錄，查看其是否按照變更記錄及時更新

了基本配置信息庫。

6.9.1.2.5對e）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商跟蹤信息系統(tǒng)、

組件或服務中的安全缺陷和解決方案的內(nèi)容；

——檢查云服務商收到的安全缺陷跟蹤記錄和解決方案，查看其是否對安全缺陷進行了跟蹤，并緩

解或解決了安全缺陷。

6.9.2增強要求

6.9.2.1評估內(nèi)容

詳見GB/T31168—2023中6.9.2的a）、b）、c）和d）。

6.9.2.2評估方法

6.9.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供能夠驗證軟

件和固件組件完整性方法的內(nèi)容；

——訪談云服務商的系統(tǒng)安全負責人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其驗證軟件和固件組件完整

性的方法；

——檢查云服務商收到的設計說明書等相關(guān)文檔，查看其是否對軟件和固件組件完整性驗證方法進

行了詳細的說明。

6.9.2.2.2對b）的評估方法為：

14

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有在沒有專用的開發(fā)商配置團

隊支持的情況下，由本組織的人員建立相應配置管理流程的要求；

——訪談云服務商的系統(tǒng)安全負責人或配置管理相關(guān)人員，詢問其開發(fā)商配置管理團隊和流程等情

況，以及云服務商相應的配置管理團隊和流程等情況；

——檢查云服務商的配置管理計劃等相關(guān)文檔，查看其是否在沒有專用的開發(fā)商配置團隊支持的情

況下，由云服務商的人員建立相應配置管理流程。

6.9.2.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供對硬件組件

完整性驗證方法（如防偽標簽、可核查序列號、防篡改技術(shù)等）的內(nèi)容；

——訪談云服務商的系統(tǒng)安全負責人或維護人員等相關(guān)人員，詢問其驗證硬件組件完整性的方法；

——檢查云服務商收到的設計說明書等相關(guān)文檔，查看其是否對硬件組件完整性進行詳細的說明。

6.9.2.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)過程中使

用工具驗證軟件或固件源代碼、目標代碼的當前版本與以往版本異同，以防止非授權(quán)更改的內(nèi)

容；是否有要求開發(fā)商采取措施保證安全相關(guān)的硬件、軟件和固件的出廠版本與現(xiàn)場運行版本

一致，現(xiàn)場更新與開發(fā)商內(nèi)部版本一致的內(nèi)容；

——檢查云服務商收到的設計說明書等相關(guān)文檔，查看其是否詳細說明了防止非授權(quán)更改的驗證方

法；

——檢查云服務商收到的對固件源代碼、目標代碼的異同進行驗證的記錄文檔，查看開發(fā)商是否進

行了驗證。

6.9.3高級要求

無。

6.10開發(fā)商安全測試和評估

6.10.1一般要求

6.10.1.1評估內(nèi)容

詳見GB/T31168—2023中6.10.1的a）、b）、c）、d）和e）。

6.10.1.2評估方法

6.10.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商制定并實施安全

評估計劃的內(nèi)容；

——檢查云服務商收到的安全評估計劃，查看開發(fā)商是否按要求制定了安全評估計劃。

6.10.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否選擇了實施安全測試或評估的

過程，是否定義了在所選擇的過程中進行安全測試或評估的深度和覆蓋面。

6.10.1.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商提供安全評估計

劃的實施證明材料和安全評估結(jié)果的內(nèi)容；

——檢查云服務商收到的安全評估計劃、安全評估報告等相關(guān)文檔，查看開發(fā)商是否按照云服務商

定義的深度和覆蓋面執(zhí)行相應的測試或評估。

6.10.1.2.4對d）的評估方法為：

15

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商實施可驗證的缺陷

修復過程；

——檢查云服務商收到的缺陷修復報告等相關(guān)文檔，查看開發(fā)商是否實施了可被驗證的修復過程；

——訪談云服務商的系統(tǒng)安全負責人等相關(guān)人員，詢問其缺陷修復過程及過程是否可被驗證。

6.10.1.2.5對e）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商更正在安全評估

過程中發(fā)現(xiàn)的脆弱性和不足的內(nèi)容；

——檢查云服務商收到的安全評估報告、缺陷修復報告等相關(guān)記錄，查看開發(fā)商是否更正了在安全

評估過程中發(fā)現(xiàn)的脆弱性和不足。

6.10.2增強要求

6.10.2.1評估內(nèi)容

詳見GB/T31168—2023中6.10.2的a）、b）、c）、d）、e）、f）和g）。

6.10.2.2評估方法

6.10.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商在開發(fā)階段使用

靜態(tài)代碼分析工具識別常見缺陷以及記錄分析結(jié)果的內(nèi)容；

——檢查云服務商收到的缺陷分析報告或記錄等相關(guān)文檔，查看開發(fā)商是否在開發(fā)階段使用靜態(tài)代

碼分析工具識別常見缺陷。

6.10.2.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商實施威脅和脆弱

性分析，并測試或評估已開發(fā)完成的信息系統(tǒng)、組件或服務的內(nèi)容；

——檢查云服務商收到的缺陷分析報告或記錄等相關(guān)文檔，查看開發(fā)商是否對威脅和脆弱性進行了

分析；

——檢查云服務商收到的測試或評估報告，查看開發(fā)商是否對已開發(fā)完成的系統(tǒng)、組件或服務進行

了測試或評估。

6.10.2.2.3對c）中條款1）2）的評估方法如下。

——對條款1）的評估方法為：

檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求選擇第三方驗證開發(fā)

商實施安全評估計劃的正確性以及在安全測試或評估過程中產(chǎn)生的證據(jù)；

檢查云服務商提供的第三方資質(zhì)證明、安全評估報告等相關(guān)材料，查看云服務商是否選擇

第三方驗證。

——對條款2）的評估方法為：

檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對開發(fā)商進行評估時，

確保獨立第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的訪問權(quán)

限的要求；

訪談系統(tǒng)安全負責人或獨立第三方等相關(guān)人員，詢問其獨立第三方對開發(fā)商進行安全評估

的情況；

檢查云服務商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨立第三方完成驗證過

程，或已被授予獲得所需信息的訪問權(quán)限。

6.10.2.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了代碼審查過程、規(guī)程或

技術(shù)，是否定義了需實施代碼審查的特定代碼；是否要求開發(fā)商對所定義的特定代碼實施代碼

審查；

16

GB/T34942—XXXX

——訪談云服務商的系統(tǒng)安全負責人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其代碼審查情況；

——檢查云服務商收到的代碼審查結(jié)果，查看開發(fā)商是否實施了代碼審查。

6.10.2.2.5對e）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了滲透性測試的約束條

件；是否定義了滲透性測試的廣度和深度；是否要求開發(fā)商按照所定義的約束條件，執(zhí)行符合

要求的廣度和深度的滲透性測試；

——檢查云服務商收到的滲透性測試報告，查看其是否按照所定義的約束條件以及廣度和深度執(zhí)行

滲透性測試。

6.10.2.2.6對f）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有要求開發(fā)商分析所提供的硬

件、軟件和固件容易受到攻擊的脆弱點的內(nèi)容；

——檢查云服務商收到的脆弱點分析報告等相關(guān)文檔，查看開發(fā)商是否進行了脆弱點分析，并對已

開發(fā)完成的信息系統(tǒng)、組件或服務執(zhí)行測試或評估。

6.10.2.2.7對g）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了開發(fā)商驗證安全措施測

試或評估的廣度和深度，是否要求開發(fā)商驗證安全措施測試或評估過程滿足所定義的廣度和深

度要求；

——檢查云服務商收到的測試或評估報告，查看其是否滿足云服務商定義的廣度和深度要求。

6.10.3高級要求

6.10.3.1評估內(nèi)容

詳見GB/T31168—2023中6.10.3的a）、b）、c）、d）。

6.10.3.2評估方法

6.10.3.2.1對a）中條款1）2）的評估方法如下。

——對條款1）的評估方法為：

檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了第三方的獨立性準

則；是否要求選擇獨立第三方驗證開發(fā)商實施安全評估計劃的正確性以及在安全測試或評

估過程中產(chǎn)生的證據(jù)；

檢查云服務商提供的第三方資質(zhì)證明等相關(guān)材料，查看云服務商是否按照所定義的獨立性

準則選擇第三方。

——對條款2）的評估方法為：

檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有對開發(fā)商進行評估時，

確保獨立第三方能夠獲得足夠的資料來完成驗證過程，或已被授予獲得此類信息的訪問權(quán)

限的要求；

訪談系統(tǒng)安全負責人或獨立第三方等相關(guān)人員，詢問其獨立第三方對開發(fā)商進行安全評估

的情況；

檢查云服務商與第三方簽訂的合同等相關(guān)文檔，查看其是否能確保獨立第三方完成驗證過

程，或已被授予獲得所需信息的訪問權(quán)限。

6.10.3.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了人工代碼審查過程、規(guī)

程或技術(shù)，是否定義了需實施人工代碼審查的特定代碼；是否要求開發(fā)商對所定義的特定代碼

實施人工代碼審查；是否要求開發(fā)商提供易于理解的審查結(jié)果；是否要求云服務商使用通過開

發(fā)商審查的代碼可重構(gòu)系統(tǒng)；

17

GB/T34942—XXXX

——訪談云服務商的系統(tǒng)安全負責人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其人工代碼審查情況和系統(tǒng)

重構(gòu)情況；

——檢查云服務商收到的人工代碼審查結(jié)果，查看開發(fā)商是否實施了人工代碼審查。

6.10.3.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務的

開發(fā)商在運行階段使用動態(tài)代碼分析工具識別常見缺陷，并記錄分析結(jié)果；

——檢查云服務商收到的動態(tài)代碼分析結(jié)果，查看開發(fā)商是否使用動態(tài)代碼分析工具識別了常見缺

陷并記錄了分析結(jié)果；

——訪談云服務商的系統(tǒng)安全負責人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其動態(tài)代碼分析工具情況。

6.10.3.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求信息系統(tǒng)、組件或服務的

開發(fā)商在系統(tǒng)生命周期中采用技術(shù)手段對信息系統(tǒng)、組件或服務開展高彈性或高韌性測試；是

否要求測試達到驗證信息系統(tǒng)是否對故障異常情況具有較強的恢復能力和主動識別并修復壓

力環(huán)境下故障問題的效果；

——訪談云服務商的系統(tǒng)安全負責人或系統(tǒng)開發(fā)人員等相關(guān)人員，詢問其高彈性或高韌性測試情

況；

——檢查云服務商收到的高彈性或高韌性測試報告，查看開發(fā)商是否進行了相關(guān)測試，測試結(jié)果是

否達到了驗證信息系統(tǒng)對故障異常情況具有較強恢復能力，以及主動識別并修復壓力環(huán)境下故

障問題的效果。

6.11開發(fā)商提供的培訓

6.11.1一般要求

6.11.1.1評估內(nèi)容

詳見GB/T31168—2023的6.11.1。

6.11.1.2評估方法

評估方法如下：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求開發(fā)商提供的有助于正確

使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機制的培訓；

——訪談云服務商的維護人員等相關(guān)人員，詢問培訓實施情況；

——檢查培訓記錄等相關(guān)文檔，查看開發(fā)商是否實施了所定義的培訓。

6.11.2增強要求

無。

6.11.3高級要求

無。

6.12組件真實性

6.12.1一般要求

無。

6.12.2增強要求

6.12.2.1評估內(nèi)容

詳見GB/T31168—2023中6.12.2的a）、b）、c）、d）、e）和f）。

18

GB/T34942—XXXX

6.12.2.2評估方法

6.12.2.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有制定和實施防贗品策略與規(guī)

程的要求，是否有檢測并防止贗品組件進入信息系統(tǒng)的要求；

——訪談系統(tǒng)安全負責人或負責采購業(yè)務的人員等相關(guān)人員，詢問其檢測并防止贗品組件進入信息

系統(tǒng)的措施。

6.12.2.2.2對b）的評估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否有向正品廠商、相關(guān)外部機構(gòu)、云服務商安全

責任部門或相關(guān)人員報告贗品組件的內(nèi)容；

——訪談云服務商安全責任部門或相關(guān)人員，詢問其贗品組件報告情況；

——檢查報告贗品組件的記錄等相關(guān)文檔，查看其是否按照要求報告，并將贗品率考慮納入供應商

考核范圍。

6.12.2.2.3對c）的評估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了進行贗品組件檢測培訓的人員或角色；

——訪談所要求接受培訓的人員或角色，詢問其贗品組件檢測的培訓情況；

——檢查有關(guān)贗品組件檢測的培訓記錄，查看其是否對所明確的人員或角色進行了培訓。

6.12.2.2.4對d）的評估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了在等待服務或維修，以及已送修的組件

返回時，需進行配置檢查的關(guān)鍵組件；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其檢查關(guān)鍵組件配置的情況；

——檢查云服務商收到的相關(guān)記錄，查看其是否按照要求保持檢查關(guān)鍵組件配置。

6.12.2.2.5對e）的評估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否明確了銷毀廢棄信息系統(tǒng)組件的技術(shù)和方法；

——訪談系統(tǒng)安全負責人等相關(guān)人員，詢問其廢棄的系統(tǒng)組件銷毀情況；

——檢查銷毀廢棄信息系統(tǒng)組件的記錄等相關(guān)文檔，查看其是否使用所明確的技術(shù)和方法銷毀廢棄

的信息系統(tǒng)組件。

6.12.2.2.6對f）的評估方法為：

——檢查防贗品的策略與規(guī)程相關(guān)文檔，查看其是否定義了檢查信息系統(tǒng)中贗品組件的頻率；

——檢查信息系統(tǒng)中贗品組件的檢查記錄等相關(guān)文檔，查看其是否按照定義的頻率執(zhí)行。

6.12.3高級要求

無。

6.13不被支持的系統(tǒng)組件

6.13.1一般要求

無。

6.13.2增強要求

6.13.2.1評估內(nèi)容

詳見GB/T31168—2023中6.13.2。

6.13.2.2評估方法

評估方法如下：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否有系統(tǒng)組件不被支持時替換該

系統(tǒng)組件，或當因業(yè)務需要等原因需繼續(xù)使用時，提供正當理由并經(jīng)過本組織領(lǐng)導層的批準，

并為不被支持的系統(tǒng)組件提供內(nèi)部支持或來自其他外部提供商支持的要求；

19

GB/T34942—XXXX

——訪談系統(tǒng)安全負責人或維護人員等相關(guān)人員，詢問其是否有替換系統(tǒng)組件的情況，以及系統(tǒng)組

件不被提供支持時替換該組件的處理情況；

——檢查系統(tǒng)組件替換方案、資產(chǎn)清單和組件替換記錄等相關(guān)文檔，查看云服務商是否定期對系統(tǒng)

組件進行分析，當發(fā)現(xiàn)存在系統(tǒng)組件不被支持時及時替換該系統(tǒng)組件；

——檢查批準記錄或?qū)Σ槐恢С值南到y(tǒng)組件提供支持的協(xié)議等相關(guān)文檔，查看當因業(yè)務需要等原因

需繼續(xù)使用不被支持的系統(tǒng)組件時，是否提供了正當理由并經(jīng)批準，并提供了內(nèi)部或外部相關(guān)

支持。

6.13.3高級要求

無。

6.14供應鏈保護

6.14.1一般要求

6.14.1.1評估內(nèi)容

詳見GB/T31168—2023中6.14.1的a）、b）、c）、d）和e）。

6.14.1.2評估方法

6.14.1.2.1對a）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否對供應鏈過程和參與者進行唯

一標識，并建立管理操作規(guī)程，是否明確以下事項：

1）供應鏈過程，包括硬件、軟件和固件開發(fā)過程，運輸和裝卸過程，人員和物理安全程序，

以及涉及到供應鏈單元生產(chǎn)或發(fā)布的其他程序；

2）供應鏈參與者指供應鏈中具有特定角色和責任的獨立個體；

——檢查云服務商供應鏈管理操作規(guī)程和相關(guān)記錄，查看其對供應鏈的管理情況，以及對供應鏈過

程和參與者進行唯一標識的執(zhí)行情況。

6.14.1.2.2對b）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求識別對云計算服務的安全

性存在重要影響的外包服務或采購產(chǎn)品；

——檢查云服務商的外包服務或采購產(chǎn)品清單，查看其是否識別出對云計算服務的安全性存在重要

影響的外包服務或采購產(chǎn)品清單。

6.14.1.2.3對c）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否定義了需通過國家規(guī)定的檢測

認證的網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品；

——檢查所定義的重要設備通過信息安全檢測的證書/報告或者國家正式發(fā)布的檢測認證結(jié)果清

單，查看其是否通過了通過國家規(guī)定的檢測認證。

注：網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品范圍詳見國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、國家認證認

可監(jiān)督管理委員會等部門發(fā)布的《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》。

6.14.1.2.4對d）的評估方法為：

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求運輸或倉儲時使用防篡改

包裝（如防偽標簽、安全封條、中性化包裝），是否要求對包裝物的封箱、開箱過程進行監(jiān)督

和記錄，是否要求對封條使用和貨柜安全操作建立指導性規(guī)程；

——訪談設備管理員或倉庫管理員等相關(guān)人員，詢問云計算相關(guān)軟硬件在運輸或倉儲時采用的防篡

改措施；

——檢查云計算相關(guān)軟硬件在運輸或倉儲時使用的防篡改措施及記錄。

6.14.1.2.5對e）的評估方法為：

20

GB/T34942—XXXX

——檢查系統(tǒng)開發(fā)與供應鏈安全策略與規(guī)程等相關(guān)文檔，查看其是否要求當采購的網(wǎng)絡產(chǎn)品和服務

可能影響國家安全的，需通過網(wǎng)絡安全審查。

——檢查云服務商收到的相關(guān)安全性分析報告或?qū)彶橛涗洠榭雌涫欠駥赡苡绊憞野踩木W(wǎng)絡

產(chǎn)品和服務通過網(wǎng)絡安全審查。

6