5.4　采購過程

5.4.1　一般要求

5.4.1.1　評估內容

詳見GB/T31168－2014的5.4.1。

5.4.1.2　評估方法

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有根據相關法律、法規、政策和標準的要求，以及可能的客戶需求，并在風險評估的基礎上，將GB/T31168－2014中5.4.1的a)、b)、c)、d)、e)、f)、g)、h)的內容列入信息系統采購合同的要求；

——訪談系統安全負責人等相關人員，詢問其是否收集和整理相關的法律、法規、政策和標準要求，并形成合規文件清單；

——訪談負責采購業務的相關人員，詢問其在擬定信息系統采購合同之前，是否已充分考慮合規文件清單、可能的客戶需求，以及相關的風險評估結果；

——檢查采購合同，查看其是否包含所要求的內容。

5.4.2　增強要求

5.4.2.1　評估內容

詳見GB/T31168－2014中5.4.2的a）、b）、c）、d）、e）和f）。

5.4.2.2　評估方法

5.4.2.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有要求開發商對其使用的安全措施進行功能描述的內容；

——訪談系統安全負責人等相關人員，詢問其有哪些信息系統、組件或服務由開發商開發，是否形成云計算平臺信息系統、組件或服務開發清單；

——檢查云服務商收到的對安全措施進行功能描述的文檔，查看開發商是否按要求進行了描述。

5.4.2.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有要求開發商提供所使用的安全措施的設計和實現信息的內容，是否定義了設計和實現信息的詳細程度；

——檢查云服務商收到的安全措施的設計和實現信息，查看其是否滿足云服務商定義的詳細程度。

5.4.2.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了在系統生命周期中使用的系統工程方法、軟件開發方法、測試技術和質量控制過程；

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有要求開發商提供相關證據的內容；

——檢查云服務商收到的證據，查看該證據是否足以證明開發商在系統生命周期中使用了云服務商定義的系統工程方法、軟件開發方法、測試技術和質量控制過程。

5.4.2.2.4對d）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了開發商在交付信息系統、組件或服務時應實現的安全配置，是否有將這些安全配置作為信息系統、組件或服務在重新安裝或升級時的缺省配置的要求；

——檢查開發商在交付、重新安裝或升級信息系統、組件或服務時使用的缺省安全配置文件和記錄等相關文檔，查看其是否符合云服務商定義的安全配置。

5.4.2.2.5 對e）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了對開發商安全措施有效性的持續監控計劃的詳細程度，是否要求開發商制定的持續監控計劃滿足該詳細程度；

——檢查云服務商收到的持續監控計劃，查看其是否滿足云服務商定義的詳細程度。

5.4.2.2.6對f）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有要求開發商在系統生命周期的早期階段說明系統中的功能、端口、協議和服務的內容；

——訪談系統安全負責人等相關人員，詢問其是否對開發商說明的系統功能、端口、協議和服務進行必要的風險評估，并基于該評估結果禁用不必要或高風險的功能、端口、協議或服務；

——檢查禁用不必要或高風險的功能、端口、協議或服務的操作記錄，查看其是否符合要求；

——測試不必要的或高風險的功能、端口、協議或服務，驗證其是否已被禁止使用。