8.7　信息系統組件清單

8.7.1　一般要求

8.7.1.1　評估內容

詳見GB/T31168－2014中8.7.1的a）、b）、c）和d）。

8.7.1.2　評估方法

8.7.1.2.1 對a）的評估方法為：

——檢查配置管理策略與規程等相關文檔，查看是否有制定和維護信息系統組件清單的要求；

——訪談系統管理員、網絡管理員、安全管理員等相關人員，詢問其是否制定了信息系統組件清單，并對其進行維護；

——檢查信息系統組件清單，查看其是否滿足下列要求：

    1）組件清單是否準確反映當前信息系統的情況；

    2）是否與信息系統邊界一致；

    3）是否達到云計算平臺信息安全管理所需要的顆粒度；

    4）是否定義了為實現有效的資產追責所必要的信息。

8.7.1.2.2 對b）的評估方法為：

——檢查配置管理策略與規程等相關文檔，查看其是否定義了信息系統組件清單審查和更新的頻率；

——檢查審查和更新記錄，查看其是否按照上述定義的頻率對信息系統組件清單進行審查并更新。

8.7.1.2.3 對c）的評估方法為：

——檢查配置管理策略與規程等相關文檔，查看是否有當安裝或移除一個完整的信息系統組件，或信息系統更新時，更新信息系統組件清單的要求；

——檢查組件清單更新記錄，查看其是否在當安裝或移除一個完整的信息系統組件，或信息系統更新時，更新了系統組件清單。

8.7.1.2.4 對d）的評估方法為：

——訪談系統管理員或配置管理人員等相關人員，詢問其是否制定了資產清單，是否將云計算平臺的所有組件均已列入資產清單；

——檢查資產清單，查看其是否包含云計算平臺的所有組件，查看其是否對屬于其他組織的組件進行了標注并說明原因。

8.7.2　增強要求

8.7.2.1　評估內容

詳見GB/T31168－2014中8.7.2的a）、b）和c）。

8.7.2.2　評估方法

8.7.2.2.1 對a）的評估方法為：

——檢查配置管理策略與規程、系統設計說明書等相關文檔，查看其是否有檢測云計算平臺非授權軟件、硬件或固件組件的自動機制，是否定義了檢測的頻率；

——訪談系統管理員或配置管理人員等相關人員，詢問其使用自動機制檢測云計算服務平臺中新增的非授權軟件、硬件或固件組件的情況；

——檢查使用自動機制檢測云計算平臺中新增非授權軟件、硬件或固件組件的過程，查看自動機制是否符合設計要求。

8.7.2.2.2 對b）的評估方法為：

——檢查配置管理策略與規程等相關文檔，查看其是否定義了當檢測到非授權的組件或設備時所采取的響應措施，如禁止其網絡訪問、對其進行隔離或者通知云服務商定義的人員或角色等；

——測試在云計算平臺接入非授權的系統組件，如無線模塊、外接存儲設備等，驗證響應措施是否有效。

8.7.2.2.3 對c）的評估方法為：

——檢查配置管理策略與規程、系統設計說明書等相關文檔，查看其是否有自動維護信息系統組件清單的機制；

——訪談系統管理員或配置管理人員等相關人員，詢問其使用自動機制維護信息系統組件清單的情況；

——檢查使用自動機制維護信息系統組件清單的過程，查看自動機制是否符合設計要求。