12.4　持續監控

12.4.1　一般要求

12.4.1.1　評估內容

詳見GB/T31168－2014中12.4.1的a）、b）、c）、d）、e）和f）。

12.4.1.2　評估方法

12.4.1.2.1 對a）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否有制定并實施持續性監控策略的要求；

——檢查持續性監控策略，查看其內容是否包括：

1）確定待監控的度量指標。

2）確定監控頻率。

——檢查持續性監控策略實施記錄，查看其是否有監控的度量指標、頻率等內容；

——訪談安全管理員等相關人員，詢問實施持續性監控的情況。

12.4.1.2.2 對b）的評估方法為：

——檢查合同，查看客戶是否有持續監控要求；

——檢查風險評估記錄和風險評估報告等相關文檔，查看其是否根據客戶的持續監控要求實施了安全評估；

——訪談安全管理員等相關人員，詢問安全評估的實施情況，是否根據客戶的持續監控要求實施安全評估。

12.4.1.2.3 對c）的評估方法為：

——檢查安全狀態監控記錄，查看其是否根據持續監控策略，對已定義的度量指標進行持續的安全狀態監控。

12.4.1.2.4 對d）的評估方法為：

——檢查關聯和分析記錄，查看其是否對評估和監控產生的安全相關信息進行關聯和分析。

12.4.1.2.5 對e）的評估方法為：

——檢查響應記錄，查看是否對安全相關信息的分析結果進行了響應。

12.4.1.2.6 對f）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了報告信息系統安全狀態的頻率以及接收安全狀態報告的人員或角色；

——檢查安全狀態報告記錄，查看其是否符合定義的頻率；

——訪談所定義的人員或角色，詢問其接收信息系統安全狀態報告情況。

12.4.2　增強要求

12.4.2.1　評估內容

詳見GB/T31168－2014的12.4.2。

12.4.2.2　評估方法

12.4.2.2.1 評估方法如下：

——檢查風險評估和持續監控策略與規程等相關文檔，查看是否定義了滲透性測試以及深度檢測的頻率，是否有按照該頻率安排實施未事先聲明的滲透性測試以及深度檢測的要求；

——檢查滲透性測試及深度檢測記錄，查看其是否符合定義的滲透性測試以及深度檢測頻率；

——訪談系統管理員或安全管理員等相關人員，詢問滲透性測試和深度檢測的執行情況。