5.8　外部信息系統服務及相關服務

5.8.1　一般要求

5.8.1.1　評估內容

詳見GB/T31168－2014中5.8.1的a）、b）和c）。

5.8.1.2　評估方法

5.8.1.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有要求外部服務（如電信服務、安全運維、安保服務等）提供商遵從并實施云服務商安全要求的內容；

——訪談信息安全的第一負責人或系統安全負責人等相關人員，詢問其是否有外部服務提供商清單，以及外部服務提供商遵從并實施云服務商的安全要求的情況；

——檢查外部服務提供商清單、外部服務提供商管理規定等相關文檔，查看其是否有相關要求。

5.8.1.2.2 對b）的評估方法為：

——檢查與外部服務提供商的服務合同等相關文檔，查看其是否明確了外部服務提供商的安全分工與責任，是否要求外部服務提供商接受相關客戶監督；

——訪談信息安全的第一負責人或系統安全負責人等相關人員，詢問其外部服務提供商的安全分工與責任，以及外部服務提供商接受相關客戶監督的情況。

5.8.1.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否針對外部服務提供商定義了對其持續監控的具體過程、方法和技術；

——檢查針對外部服務提供商的持續監控計劃和持續監控報告，查看其是否按照所定義的過程、方法和技術對外部服務提供商提供的安全措施的合規性進行了持續監控；

——訪談系統安全負責人等相關人員，詢問其是否具備足夠資源（技術、人力等），以滿足對外部服務提供商提供的安全措施的合規性進行持續監控的需求。

5.8.2　增強要求

5.8.2.1　評估內容

詳見GB/T31168－2014中5.8.2的a）、b）、c）、d）、e）和f）。

5.8.2.2　評估方法

5.8.2.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了擬采購或外包的安全服務，是否要求針對該安全服務進行風險評估；

——訪談系統安全負責人或負責采購業務的相關人員，詢問其在采購或外包（如應急志愿服務等）安全服務之前，是否對其進行全面的風險評估；

——檢查風險評估報告，查看其是否按要求進行了風險評估。

5.8.2.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了批準擬采購或外包的安全服務的人員或角色；

——檢查審批記錄，查看其是否由所定義的人員或角色予以批準。

5.8.2.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了外部服務，是否要求外部服務提供商以文檔形式具體說明該外部服務涉及的功能、端口、協議和其他服務；

——檢查外部服務提供商提供的說明文檔，查看其是否對所定義的外部服務涉及的功能、端口、協議和其他服務予以說明。

5.8.2.2.4 對d）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了用于保持與外部服務提供商的信任關系的安全要求、屬性、因素或者其他條件，例如外部服務提供商已獲得的各類資質、與云服務商存在戰略合作或投資關系等；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其保持與外部服務提供商信任關系的方法，查看該方法是否屬于所定義的安全要求、屬性、因素或者其他條件。

5.8.2.2.5 對e）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了安全措施，以防止所定義的外部服務提供商損害本組織的利益，安全措施可以是：

1）對外部服務提供商進行人員背景審查，或要求外部服務提供商提供可信的人員背景審查結果。

2）檢查外部服務提供商資本變更記錄。

3）選擇可信賴的外部服務提供商，如有過良好合作的提供商。

4）定期或不定期檢查外部服務提供商的設施。

——檢查云服務商定義的安全措施的實施記錄等相關文檔，查看其是否符合要求；

——訪談系統安全負責人等相關人員，詢問其針對不同外部服務提供商所選擇的安全防護措施的落實情況。

5.8.2.2.6 對f）的評估方法為：

——檢查合同、系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了限制信息處理/信息或數據/信息系統服務地點的要求或條件；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其限制外部服務提供商信息處理、信息或數據存儲、信息系統服務地點的安全措施，查看其是否符合所定義的要求或條件。