8.5　配置參數的設置

8.5.1　一般要求

8.5.1.1　評估內容

詳見GB/T31168－2014中8.5.1的a）、b）和c）。

8.5.1.2　評估方法

8.5.1.2.1 對a）的評估方法為：

——檢查配置參數設置規程、配置管理計劃等相關文檔，查看其是否定義了安全配置核對表；

——檢查信息技術產品配置參數設置記錄文檔，查看其是否按照定義的安全配置核對表，建立、記錄并實現了信息系統中所使用的信息技術產品的配置參數設置；

8.5.1.2.2 對b）的評估方法為：

——檢查配置參數設置規程等相關文檔，查看其是否定義了相應的運行需求、信息系統組件和人員或角色；

——檢查配置參數記錄和批準記錄等相關文檔，查看其是否記錄了因云服務商定義的運行需求或其他原因，信息系統組件配置參數與已設配置不符的信息，是否得到了云服務商定義的人員或角色的批準；

——訪談配置管理人員或系統管理員等相關人員，詢問其是否在因云服務商定義的運行需求或其他原因，出現云服務商定義的信息系統組件的配置參數與已設配置不符的情況時，記錄了相關信息，并得到云服務商定義的人員或角色的批準。

8.5.1.2.3 對c）的評估方法為：

——檢查配置參數設置規程、配置管理計劃等相關文檔，查看其是否有對配置項設置參數的變更進行監控的機制；

——檢查配置項設置參數變更的監控機制，查看其是否有相應的監控記錄；

——訪談配置管理人員或維護人員等相關人員，詢問其是否對配置參數的變更進行監控，是否保存了監控記錄。

8.5.2　增強要求

8.5.2.1　評估內容

詳見GB/T31168－2014中8.5.2的a）和b）。

8.5.2.2　評估方法

8.5.2.2.1 對a）的評估方法為：

——訪談系統管理員或配置管理人員等相關人員，詢問其是否使用自動機制對配置參數進行集中管理、應用和驗證；

——檢查配置管理策略與規程、系統設計說明書等相關文檔，查看其是否有對配置項的參數進行集中管理、應用和驗證的自動機制；

——檢查使用自動化機制對配置參數進行集中管理、應用和驗證的過程，查看自動機制是否符合設計要求。

8.5.2.2.2 對b）的評估方法為：

——檢查配置管理計劃等相關文檔，查看其是否定義了配置設置，是否定義了對配置設置非授權變更的響應措施，如更換有關人員，恢復已建立的配置，或在極端情況下中斷受影響的信息系統的運行等；

——檢查配置設置非授權變更的案例，查看云服務商是否針對此非授權變更采取了定義的響應措施；

——訪談系統管理員或配置管理人員等相關人員，詢問其配置項被非授權變更的響應措施。