9.3　維護工具

9.3.1　一般要求

9.3.1.1　評估內容

詳見GB/T31168－2014的9.3.1。

9.3.1..2　評估方法

9.3.1.2.1 評估方法如下：

——檢查系統維護策略與規程等相關文檔，查看是否有審批、控制并監視維護工具的要求；

——檢查維護工具列表，查看其是否包含了維護的所有工具；

——檢查維護工具的審批、控制或監視記錄，查看是否符合系統維護策略與規程等相關文檔要求；

——訪談維護人員等相關人員，詢問其審批、控制并監視維護工具的落實情況。

9.3.2　增強要求

9.3.2.1　評估內容

詳見GB/T31168－2014中9.3.2的a）、b）和c）。

9.3.2.2　評估方法

9.3.2.2.1 對 a）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有檢查帶入設施內部的維護工具的要求；

——檢查維護工具的檢查記錄，查看檢查措施是否符合系統維護策略；

——訪談物理安全負責人或維護人員等相關人員，詢問其對帶入設施內部維護工具檢查措施的落實情況。

9.3.2.2.2 對b）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有在使用診斷和測試程序前對維護工具進行惡意代碼檢測的要求；

——檢查惡意代碼檢測記錄，查看其是否在使用診斷和測試程序前進行了檢測；

——訪談物理安全負責人或維護人員等相關人員，詢問其在使用診斷和測試程序前對維護工具惡意代碼檢測的情況。

9.3.2.2.3 對c）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有如下措施防止具有信息存儲功能的維護設備在非授權情況下被轉移出云服務商的控制范圍：

1）確認待轉移設備中沒有云服務商和用戶的信息。

2）凈化或破壞設備。

3）將設備留在場所內部，規定不得移出。

——檢查維護設備被轉移出云服務商控制范圍的審批記錄，查看其是否得到本組織安全責任部門的批準；

——訪談本組織安全責任部門負責人等相關人員，詢問其防止具有信息存儲功能的維護設備在非授權情況下被轉移出云服務商的控制范圍的措施情況。