5.17　供應鏈保護

5.17.1　一般要求

5.17.1.1　評估內容

詳見GB/T31168－2014中5.17.1的a）、b）和c）。

5.17.1.2　評估方法

5.17.1.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有注明哪些外包的服務或采購的產品對云計算服務的安全性存在重要影響的要求；

——檢查云計算平臺設計說明書等相關文檔，查看其是否注明了對云計算服務安全性存在重要影響的外包服務或采購產品；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其外包服務或采購產品對云計算服務安全性的影響情況。

5.17.1.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，是否定義了按照政府有關部門已設立的信息安全測評或審查制度要求通過檢測的重要設備；

——檢查所定義的重要設備通過信息安全測評或者審查的證書或報告，查看其是否通過了已經定義的安全測評或者審查。

5.17.1.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了對重要的信息系統、組件或服務實施的供應鏈保護措施；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其供應鏈保護措施實施情況；

——檢查云服務商所定義的供應鏈保護措施，根據實際情況，可進行下列檢查：

1）檢查設計說明書、開發計劃等相關文檔，查看其是否規定了對產品的開發環境、開發設備以及對開發環境的外部連接實施的安全控制；

2）檢查篩選開發商和審核開發設計人員記錄等相關文檔，查看其是否按規定進行篩選和審核；

3）檢查重要信息系統、組件或服務的移交計劃等相關文檔，查看其是否要求在運輸或倉儲使用防篡改包裝。

5.17.2　增強要求

5.17.2.1　評估內容

詳見GB/T31168－2014中5.17.2的a）、b）、c）d）、e）f）、g）、h）、i）、j）、k）、l）和m）。

5.17.2.2　評估方法

5.17.2.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了采購策略、合同工具和采購方法；是否要求實施；

1）檢查采購方案、招標文件、合同等相關文檔，查看其是否優先選擇下列供應商：

i）保護措施符合法律、法規、政策、標準以及云服務商的安全要求。

ii）企業運轉過程和安全措施相對透明。

iii）對下級供應商、關鍵組件和服務的安全提供了進一步的核查。

iv）在合同中聲明不使用有惡意代碼產品或假冒產品。

2）檢查采購方案、招標文件、合同等相關文檔，查看其是否盡量縮短采購時間和交付時間；

3）檢查采購方案、合同、移交計劃等相關文檔，查看其是否有使用可信或可控的分發、交付和倉儲手段的要求；

4）檢查采購方案、合同等相關文檔，查看其是否限制從特定供應商或國家采購產品或服務；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其采購策略、合同工具和采購方法的實施情況。

5.17.2.2.2 對b）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有在簽署合同前對供應商進行審查的要求；

1）檢查分析記錄，查看云服務商是否對供應商的相關過程等進行分析；

2）檢查評價記錄，查看云服務商是否對供應商在開發信息系統、組件或服務時接受的安全培訓和積累的經驗進行評價；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其在簽署合同前對供應商審查的實施情況。

5.17.2.2.3 對c）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了為降低攻擊者利用供應鏈造成的危害而采取的保護措施；是否要求采用該保護措施降低攻擊者利用供應鏈造成的危害；

1）檢查采購方案、合同等相關文檔，查看其是否優先購買現貨產品，避免購買定制設備；

2）檢查采購方案、合同等相關文檔，查看其是否在能提供相同產品的多個不同供應商中做選擇，以防范供應商鎖定風險；

3）檢查采購方案、合格供應商列表等相關文檔，查看其是否選擇有聲譽的企業，建立了合格供應商列表；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其為降低攻擊者利用供應鏈造成的危害而采取的保護措施的實施情況。

5.17.2.2.4 對d）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有在選擇、接受或更新信息系統、組件或服務前對其進行評估，以發現惡意代碼等隱患的要求；

——檢查評估報告等相關文檔，查看其是否進行了評估。

5.17.2.2.5 對e）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有綜合分析各方面的信息，以發現來自開發、生產、交付過程以及人員和環境的風險的要求；是否有該分析應盡可能覆蓋到各層供應商和候選供應商的要求；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其對各方面信息的綜合分析情況；

——檢查分析報告等相關文檔，查看其是否進行了綜合分析以及覆蓋的各方是否全面。

5.17.2.2.6 對f）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了保護供應鏈相關信息的保護措施；是否確定了可通過匯聚或推導分析而獲得供應鏈關鍵信息的相關信息，并確定了防范措施；是否要求采用定義的保護措施保護供應鏈相關信息；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其按照供應鏈相關信息的措施的實施情況。

5.17.2.2.7 對g）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了確認所收到的信息系統或組件真實且未被改動的保護措施；是否有要求硬件供應商提供詳細和完整的組件清單和產地清單的內容；

——檢查云服務商收到的硬件的詳細和完整的組件清單和產地清單，查看供應商是否按要求提供了硬件的組件清單和產地清單；

——檢查所定義的對所收到的信息系統或組件真實且未被改動的保護措施的確認記錄等相關文檔，查看云服務商是否按規定實施了保護措施；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其對所收到的信息系統或組件真實且未被改動的保護措施的確認情況。

5.17.2.2.8 對h）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了需分析或測試的供應鏈單元、過程和參與者；

——檢查分析測試報告或滲透性測試報告等相關文檔，查看其是否對所定義的與信息系統、組件或服務相關的供應鏈單元、過程和參與者進行了分析和測試；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其供應鏈單元、過程和參與者的分析和測試情況。

5.17.2.2.9 對i）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有采取有關措施，使供應鏈安全事件信息或威脅信息能夠及時傳達到供應鏈上有關各方的要求；

——檢查云服務商與供應鏈上有關各方的合同或協議等相關文檔，查看其是否能將信息及時傳達給各方；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其供應鏈安全事件信息或威脅信息及時傳達到供應鏈上有關各方的保護措施情況。

5.17.2.2.10 對j）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有確保與供應商簽訂的服務水平協議（SLA）中的相關指標，不低于擬與客戶所簽訂的SLA協議中的相關指標的要求；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其確保與供應商簽訂的服務水平協議（SLA）中的相關指標，不低于擬與客戶所簽訂的SLA協議中的相關指標的措施情況。

5.17.2.2.11 對k）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了確保所定義的關鍵信息系統組件被充分供給的保護措施；

1）檢查資產清單、關鍵性分析報告、合同等相關文檔，查看是否使用多個供應商提供的關鍵組件；

2）檢查資產清單、備件清單等相關文檔，查看是否儲備了足夠的備用組件。

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其確保所定義的關鍵信息系統組件被充分供給的保護措施情況。

5.17.2.2.12 對l）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否定義了需建立和留存唯一標識的供應鏈單元、過程和參與者；

——檢查所定義的供應鏈單元、過程和參與者的標識清單和留存記錄等相關文檔，查看其是否建立和留存；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其供應鏈單元、過程和參與者的唯一標識情況。

5.17.2.2.13 對m）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程、供應商管理規定等相關文檔，查看其是否有當變更供應商時，對供應商變更帶來的安全風險進行評估，并采取有關措施對風險進行控制的內容；

——訪談系統安全負責人或負責供應鏈管理的人員等相關人員，詢問其在變更供應商時的處理情況；

——檢查變更供應商記錄、風險分析報告等相關文檔，查看是否在變更供應商時進行過安全風險評估報告，并制定了相應的風險控制措施。