9.2　受控維護

9.2.1　一般要求

9.2.1.1　評估內容

詳見GB/T31168－2014中9.2.1的a）、b）、c）、d）和e）。

9.2.1.2　評估方法

9.2.1.2.1 對a）的評估方法為：

——檢查系統維護策略與規程，查看其是否有根據供應商的規格說明以及自身的業務要求對云計算平臺組件的維護和修理進行規劃、實施、記錄的內容；

——檢查云計算平臺組件的維護和修理記錄，查看其是否按照要求進行維護和修理。

9.2.1.2.2 對b）的評估方法為：

——檢查系統維護策略與規程，查看其是否有審批和監視所有維護行為的機制；

——訪談維護人員等相關人員，詢問其審批和監視所有維護行為的情況；

——檢查審批和監視機制，查看其是否包括現場維護、遠程維護，以及對設備的異地維護，并查看審批和監視記錄。

9.2.1.2.3 對c）的評估方法為：

——檢查系統維護策略與規程，查看其是否有將云計算平臺組件轉移到云服務商外部進行非現場的維護或維修前的設備凈化要求；

——訪談維護人員等相關人員，詢問其在將云計算平臺組件轉移到云服務商外部進行非現場的維護或維修前，是否對設備進行凈化；

——檢查設備凈化記錄，查看其是否符合設備凈化要求。

9.2.1.2.4 對d）的評估方法為：

——檢查系統維護策略與規程，查看其是否有對云計算平臺或組件進行維護或維修后，檢查所有可能受影響的安全措施以確認其仍正常發揮功能的要求；

——訪談維護人員等相關人員，詢問其在對云計算平臺或組件進行維護或維修后，檢查所有可能受影響的安全措施的情況。

9.2.1.2.5 對e）的評估方法為：

——檢查維護記錄，查看其是否包含維護日期和時間、維護人員姓名、陪同人員姓名、對維護活動的描述、被轉移或替換的設備列表（包括設備標識號）等信息。

9.2.2　增強要求

9.2.2.1　評估內容

詳見GB/T31168－2014的9.2.2。

9.2.2.2　評估方法

9.2.2.2.1 評估方法如下：

——檢查系統維護策略與規程等相關文檔，查看其是否定義了批準進行非現場的維護或維修的人員或角色；

——檢查批準記錄，查看其是否符合系統維護策略與規程等相關文檔要求；

——訪談維護人員和所定義的人員或角色等相關人員，詢問其在將云計算平臺的組件轉移到云服務商外部進行非現場的維護或維修前的批準情況。