5.5　系統文檔

5.5.1　一般要求

5.5.1.1　評估內容

詳見GB/T31168－2014中5.5.1的a）、b）、c）和d）。

5.5.1.2　評估方法

5.5.1.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否要求開發商制定云計算平臺信息系統、組件或服務開發清單中的相應管理員文檔；

——檢查管理員文檔，查看其是否涵蓋以下信息：

1）信息系統、組件或服務的安全配置，以及安裝和運行說明；

2）安全特性或功能的使用和維護說明；

3）與管理功能有關的配置和使用方面的注意事項。

5.5.1.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否要求開發商制定云計算平臺信息系統、組件或服務開發清單中的相應用戶文檔；

——檢查用戶文檔，查看其是否涵蓋以下信息：

1）用戶可使用的安全功能或機制，以及對如何有效使用這些安全功能或機制的說明；

2）有助于用戶更安全地使用信息系統、組件或服務的方法或說明；

3）對用戶安全責任和注意事項的說明。

5.5.1.2.3 對c）的評估方法為：

——訪談系統安全負責人等相關人員，詢問其是否將開發商提供的管理員文檔和用戶文檔作為重要資產予以識別，并按照風險管理策略進行保護；

——檢查風險管理相關文檔，查看是否已識別和保護管理員文檔和用戶文檔。

5.5.1.2.4對d）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了文檔分發的人員或角色；

——訪談系統安全負責人等相關人員，詢問其開發商提供的管理員文檔和用戶文檔的分發范圍，驗證其是否明確到人員或角色；

——訪談所定義的人員或角色，詢問其是否已接收到相關文檔；

——檢查分發記錄，查看其是否按照所定義的人員或角色分發文檔。

5.5.2　增強要求

無。