12.3　脆弱性掃描

12.3.1　一般要求

12.3.1.1　評估內容

詳見GB/T31168－2014中12.3.1的a）、b）和c）。

12.3.1.2　評估方法

12.3.1.2.1 對a）的評估方法為：

——檢查風險評估與持續監控策略與規程等相關文檔，查看其是否定義了對云計算平臺及應用程序進行脆弱性掃描的頻率；

——檢查脆弱性掃描記錄，查看掃描頻率是否符合要求；

——檢查脆弱性掃描結果或報告，查看其是否標識了可能影響該平臺或應用的新漏洞；

——訪談安全管理員、維護人員等相關人員，詢問其使用的脆弱性掃描工具和技術的情況，是否按照定義的頻率進行脆弱性掃描，并標識和報告可能影響該平臺或應用的新漏洞；

12.3.1.2.2 對b）的評估方法為：

——檢查風險評估與持續監控策略與規程等相關文檔，查看其是否定義了修復漏洞的響應時間段；

——檢查漏洞修復記錄，查看是否根據風險評估或脆弱性掃描結果，在定義的響應時間段內修復漏洞；

——訪談系統安全管理員或維護人員等相關人員，詢問根據風險評估或脆弱性掃描結果進行漏洞修復的情況。

12.3.1.2.3 對c）的評估方法為：

——檢查風險評估與持續監控策略與規程等相關文檔，查看其是否定義了人員或角色以便在本組織范圍內共享脆弱性掃描和安全評估過程得到的信息；

——訪談云服務商定義的人員或角色，詢問其共享脆弱性掃描和安全評估過程得到的信息情況，是否有及時消除其他系統中的類似漏洞。

12.3.2　增強要求

12.3.2.1　評估內容

詳見GB/T31168－2014中12.3.2的a）、b）、c）、d）和e）。

12.3.2.2　評估方法

12.3.2.2.1 對a）的評估方法為：

——檢查風險評估與持續監控策略與規程等相關文檔，查看其是否有脆弱性掃描工具具有迅速更新漏洞庫能力的要求；

——檢查脆弱性掃描工具配置信息，查看其是否開啟了自動更新漏洞庫功能；

——檢查脆弱性掃描工具更新記錄，查看其是否具有迅速更新漏洞庫的能力。

12.3.2.2.2 對b）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看是否定義了更新漏洞庫的方式；

——檢查漏洞庫升級策略配置信息，查看其是否按定義的方式更新漏洞庫；

——檢查漏洞庫升級記錄，查看更新漏洞庫的方式是否符合要求。

12.3.2.2.3 對c）的評估方法為：

——檢查脆弱性掃描結果，查看其是否能夠清楚呈現掃描所覆蓋的廣度和深度。

12.3.2.2.4 對d）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否對特權賬號定義了信息系統組件和脆弱性掃描行動以實施更全面掃描；

——檢查脆弱性掃描工具配置信息，查看其是否有使用特權賬號對定義的信息系統組件進行所定義的脆弱性掃描行動的配置

12.3.2.2.5 對e）的評估方法為：

——檢查風險評估和持續監控策略與規程、系統設計說明書等相關文檔，查看其是否有對不同時間的脆弱性掃描結果進行比較的自動機制；

——檢查脆弱性掃描的自動機制，查看其是否可比較不同時間的脆弱性掃描結果。