5.3　系統生命周期

5.3.1　一般要求

5.3.1.1　評估內容

詳見GB/T31168－2014中5.3.1的a）、b）、c）和d）。

5.3.1.2　評估方法

5.3.1.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了系統生命周期，如規劃階段、設計階段、實施階段、運維階段、廢止階段等；是否將信息安全納入所定義的系統生命周期；

——檢查云服務商定義的系統生命周期中的各階段相關文檔，查看其是否明確提出信息系統和服務的安全需求，以確保信息安全措施同步規劃、同步建設、同步運行；

——訪談信息安全的第一負責人或系統安全負責人等相關人員，詢問信息安全措施的同步規劃、同步建設、同步運行的情況。

5.3.1.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有確定整個信息系統生命周期內的信息安全角色和責任的要求；

——檢查信息系統生命周期各階段的相關文檔，查看其是否明確提出各階段的信息安全角色和責任。

5.3.1.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有將信息安全角色明確至相應責任人的要求；

——檢查信息系統生命周期各階段相關文檔，查看其是否將各階段的信息安全角色明確至相應責任人。

5.3.1.2.4 對d）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有將信息安全風險管理過程集成到系統生命周期活動中的要求；

——檢查信息系統生命周期各階段相關文檔，查看其是否有信息安全風險管理內容，查看其是否有相應風險評估報告；

——訪談信息安全的第一負責人或系統安全負責人等相關人員，詢問其在系統生命周期的各階段中信息安全風險管理情況。

5.3.2　增強要求

無。