4.4　評估實施過程

評估實施過程主要包括：評估準備、方案編制、現場實施和分析評估四個階段，與云服務商的溝通與洽談貫穿整個過程，評估實施過程見圖1。

在評估準備階段，第三方評估機構應接收云服務商提交的《系統安全計劃》，從內容完整性和準確性等方面審核《系統安全計劃》，審核通過后，第三方評估機構與云服務商溝通被測對象、擬提供的證據、評估進度等相關信息，并組建評估實施團隊。

在方案編制階段，第三方評估機構應確定評估對象、評估內容和評估方法，并根據需要選擇、調整、開發和優化測試用例，形成相應安全評估方案。此階段根據具體情況，可能還需要進行現場調研，主要目的是：確定評估邊界和范圍，了解云服務商的系統運行狀況、安全機構、制度、人員等現狀，以便制定安全評估方案。

在現場實施階段，第三方評估機構主要依據《系統安全計劃》等文檔，針對系統開發與供應鏈保護、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面的安全措施實施情況進行評估。該階段主要由云服務商提供安全措施實施的證據，第三方評估機構審核證據并根據需要進行測試。必要時，應要求云服務商補充相關證據，雙方對現場實施結果進行確認。

在分析評估階段，第三方評估機構應對現場實施階段所形成的證據進行分析，首先給出對每項安全要求的判定結果。在GB/T31168—2014附錄A中，云服務商安全要求實現情況包括：滿足、部分滿足、計劃滿足、替代滿足、不滿足和不適用。第三方評估機構在判定時，計劃滿足視為不滿足，替代滿足視為滿足。第三方評估機構在判定是否滿足適用的安全要求時，如有測試和檢查，原則上測試結果和檢查結果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測試有檢查，原則上檢查結果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。若無測試無檢查，訪談結果滿足安全要求的視為滿足，否則視為不滿足或部分滿足。然后，根據對每項安全要求的判定結果，參照相關國家標準進行風險評估，最后綜合各項評估結果形成安全評估報告，給出是否達到GB/T31168—2014相應能力要求的評估結論。

在云服務商通過安全評估后，并與客戶簽訂合同提供服務時，第三方評估機構也可按照相關規定、客戶委托或其它情況積極參與和配合運行監管工作，具體實施應參照GB/T31167—2014及運行監管相關規定。圖1評估實施過程