8.3　基線配置

8.3.1　一般要求

8.3.1.1　評估內容

詳見GB/T31168－2014的8.3.1。

8.3.1.2　評估方法

8.3.1.2.1 評估方法如下：

——檢查信息系統架構和配置文檔、系統設計說明書等相關文檔，查看其是否按照配置要求，制定信息系統當前的基線配置；

——檢查配置審計記錄等相關文檔，查看其是否按照配置要求，對信息系統當前基線配置進行執行和記錄；

——檢查配置管理計劃等相關文檔，查看其是否按照配置要求，對信息系統當前基線配置進行維護；

——訪談系統管理員配置管理人員等相關人員，詢問其是否按照配置要求，制定、記錄并維護信息系統當前的基線配置。

8.3.2　增強要求

8.3.2.1　評估內容

詳見GB/T31168－2014中8.3.2的a）、b）和c）。

8.3.2.2　評估方法

8.3.2.2.1 對a）的評估方法為：

——檢查基線配置策略與規程、配置管理計劃等相關文檔，查看其是否定義了基線配置的審查和更新頻率；

——檢查基線配置審查和更新記錄，查看其是否按照定義的頻率、當系統發生重大變更時以及安裝和更新系統組件后，分別對基線配置進行審查和更新。

8.3.2.2.2 對b）的評估方法為：

——檢查基線配置策略與規程、配置管理計劃等相關文檔，查看其是否定義了信息系統基線配置的歷史版本，是否有對定義的歷史版本進行保留的要求；

——檢查基線配置的相關文檔，查看其是否按照要求保留了基線配置的歷史版本。

8.3.2.2.3 對c）的評估方法為：

——檢查基線配置策略與規程、配置管理計劃等相關文檔，查看其是否定義了在云計算平臺相關設施或設備被攜至高風險地區時的配置要求以及返回后應采取的防護措施；

——檢查配置審計記錄等相關文檔，查看是否在云計算平臺相關設施或設備被攜至高風險地區時，按照云服務商定義的配置要求對其進行配置，查看是否在返回后，按照云服務商定義的防護措施對其進行防護；

——訪談安全管理員或系統管理員等相關人員，詢問其在云計算平臺相關設施或設備將被攜至高風險地區前和返回后所采取的設備防護措施。