9.4　遠程維護

9.4.1　一般要求

9.4.1.1　評估內容

詳見GB/T31168－2014中9.4.1的a）、b）、c）、d）、e）和f）。

9.4.1.2　評估方法

9.4.1.2.1 對a）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否針對遠程維護及診斷連接的建立，明確規定了有關策略與規程；

——檢查遠程維護和診斷的策略與規程，查看其是否對遠程維護和診斷進行審批和監視；

——檢查遠程維護和診斷的審批和監視記錄，查看其是否滿足遠程維護和診斷的策略與規程。

9.4.1.2.2 對b）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否定義了遠程維護策略；

——檢查遠程維護和診斷工具列表，查看其是否經過批準且符合云服務商定義的遠程維護策略；

——訪談維護人員等相關人員，詢問其使用符合遠程維護策略以及使用經批準的遠程維護和診斷工具的情況。

9.4.1.2.3 對c）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否明確規定了在建立遠程維護和診斷會話時采取強鑒別技術；

——訪談維護人員等相關人員，詢問其建立遠程維護和診斷會話時采取的鑒別技術。

9.4.1.2.4 對d）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有對遠程維護和診斷活動記錄進行建立和保存的要求；

——檢查遠程維護和診斷活動的記錄，查看其是否滿足遠程維護策略。

9.4.1.2.5 對e）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有在遠程維護完成后終止會話和網絡連接的要求；

——訪談維護人員等相關人員，詢問其在遠程維護完成后終止會話和網絡連接的情況。

9.4.1.2.6 對f）的評估方法為：

——檢查遠程維護和診斷連接的策略與規程等相關文檔，查看其是否定義了對遠程維護和診斷會話的記錄進行審查的頻率；

——檢查遠程維護策略，查看其是否對所有遠程維護和診斷活動進行審計；

——檢查遠程維護和診斷會話的記錄，查看其是否按照定義的頻率進行審查；

——訪談維護人員等相關人員，詢問其對所有遠程維護和診斷活動以及相關記錄進行審計的情況。

9.4.2　增強要求

無。