4.2　評估內容

第三方評估機構依據國家相關規定和GB/T 31168－2014，主要對系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應和災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等安全措施實施情況進行評估。

第三方評估機構在開展安全評估工作中宜綜合采用訪談、檢查和測試等基本評估方法，以核實云服務商的云計算服務安全能力是否達到了一般安全能力或增強安全能力。

訪談是指評估人員對云服務商等相關人員進行談話的過程，對云計算服務安全措施實施情況進行了解、分析和取得證據。訪談的對象為個人或團體，例如：信息安全的第一負責人、人事管理相關人員、系統安全負責人、網絡管理員、系統管理員、賬號管理員、安全管理員、安全審計員、維護人員、系統開發人員、物理安全負責人和用戶等。

檢查是指評估人員通過對管理制度、安全策略和機制、安全配置和設計文檔、運行記錄等進行觀察、查驗、分析以幫助評估人員理解、分析和取得證據的過程。檢查的對象為規范、機制和活動，例如：評審信息安全策略規劃和程序；分析系統的設計文檔和接口規范；觀測系統的備份操作；審查應急響應演練結果；觀察事件處理活動；研究設計說明書等技術手冊和用戶/管理員文檔；查看、研究或觀察信息系統的硬件/軟件中信息技術機制的運行；查看、研究或觀察信息系統運行相關的物理安全措施等。

測試是指評估人員進行技術測試（包括滲透測試），通過人工或自動化安全測試工具獲得相關信息，并進行分析以幫助評估人員獲取證據的過程。測試的對象為機制和活動，例如：訪問控制、身份鑒別和驗證、審計機制；測試安全配置設置，測試物理訪問控制設備；進行信息系統的關鍵組成部分的滲透測試，測試信息系統的備份操作；測試事件處理能力、應急響應演練能力等。