11.6　審計的審查、分析和報告

11.6.1　一般要求

11.6.1.1　評估內容

詳見GB/T31168－2014中11.6.1的a）、b）和c）。

11.6.1.2　評估方法

11.6.1.2.1 對a）的評估方法為：

——檢查審計策略與規程等相關文檔，查看其是否定義了審查和分析的頻率，是否定義了不當或異常活動清單，是否定義了針對不當或異常活動須報告的人員或角色清單；

——檢查審計分析報告等相關文檔，查看是否按定義的頻率進行審查和分析，以發現定義的不當或異常活動，并向定義的人員和角色報告；

——訪談所定義的人員或角色，詢問其接收不當或異常活動的報告情況。

11.6.1.2.2 對b）的評估方法為：

——檢查審計策略與規程相關文檔，查看其是否規定了當法律法規、客戶需求或信息系統面臨的威脅環境發生變化時，應調整審計記錄進行審查、分析、報告的策略的要求；

——檢查策略調整記錄，查看其是否按照要求進行策略調整。

11.6.1.2.3 對c）的評估方法為：

——檢查審計策略與規程等相關文檔，查看其是否有須向客戶提供審計分析報告的要求；

——訪談安全審計員、客戶等相關人員，詢問其提交或接收審計分析報告的情況；

——檢查審計分析報告，查看其是否涵蓋了以下內容：

1）提供的云計算性能指標是否達到服務水平協議（SLA）的要求；

2）云計算平臺信息安全狀態的整體描述；

3）審計中發現的異常情況以及處置情況；

4）云計算平臺中涉及客戶的敏感操作的情況及其統計分析；

5）云計算平臺遠程訪問的總體情況及其統計分析。

11.6.2　增強要求

11.6.2.1　評估內容

詳見GB/T31168－2014中11.6.2的a）和b）。

11.6.2.2　評估方法

11.6.2.2.1 對a）的評估方法為：

——檢查審計策略與規程、系統設計說明書等相關文檔，查看其是否有使用自動機制對審查、分析和報告過程進行整合的內容；

——檢查自動機制，查看其是否能夠對審查、分析和報告過程進行整合。

11.6.2.2.2 對b）的評估方法為：

——檢查審計策略與規程等相關文檔，查看其是否有對來自不同審計庫的審計記錄進行關聯性分析的要求；

——檢查系統設計說明書等相關文檔，查看其是否有對不同審計庫進行關聯性分析的機制；

——檢查關聯性分析機制，查看其是否實現了審計記錄的關聯性分析功能；

——訪談系統安全負責人或安全審計員等相關人員，詢問對審計記錄進行關聯性分析的情況。