6.9 配置管理（CM）

6.9.1　配置管理方針策略和規程（CM-1）

本項要求包括：

a) 應制定并發布配置管理方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布配置管理規程，以推動配置管理方針策略及與相關安全控制的實施，該規程應與相關發兩次、制度、策略、規章、標準和指南保持一致；

c) 應定期對配置管理方針策略及規程進行評審和更新。

6.9.2　基線配置（CM-2）

本項要求包括：

a) 應制定、記錄并維護ICS當前的配置基線；

b) 應定期或在系統發生重大變更、安裝和更新系統組件后，對基線配置進行評審和更新；

c) 應保留舊版本ICS基線配置，以便必要時恢復配置；

d) 應定期根據組織要求，在系統部件進行整體安裝和升級等情況下評審并調整ICS的基線配置；

e) 組織為開發和測試環境，維護一個基線配置，該配置與那個運行的基線配置是得以不同管理的；

f) 組織保留被認為可支持回滾的、老的基線配置版本；

g) 組織使用自動化機制，及時維護ICS配置，確保保持完整、準確、就緒可用的基線；

h) 組織應開發并維護已授權可在組織ICS予以執行的軟件列表，使用拒絕授權、除此之外的允許授權策略，標識在組織ICS上所有被允許執行的軟件；

i) 組織應開發并維護沒有被授權可在組織ICS上執行的軟件列表，使用顯式的拒絕授權策略，標識在組織ICS上所有被允許執行的軟件。

6.9.3　配置變更控制（CM-3）

本項要求包括：

a) 應明確系統受控配置列表中,包含了哪些變更內容；

b) 應評審所提交的ICS變更事項，并根據其影響結果，進行批準或否決；

c) 應將ICS相關的配置變更決策形成文件；

d) 應保留對ICS配置的變更記錄；

e) 應對系統配置變更的活動進行評審；

f) 應明確配置變更控制的管理部門，協調和監管配置變更的相關活動；

g) 組織在實現ICS變更前，應測試、確認這些對ICS的變更，并建立相應的文檔；

h) 組織使用自動化機制，來建立對ICS所提議的變更之文檔，通知指定的批準機構，強調在規定期限內沒有接受到的批準，禁止變更，直到接受到指定的批準，建立對ICS完成變更的文檔；

i) 組織使用自動化機制，實現對當前ICS基線的變更，并通過所安裝的配置庫，開發調整的基線；

j) 組織要求一個信息安全代表，成為配置變更管理部門的成員；

k) 變更控制管理部門和配置變更頻率/條件應得到管理層的批準；

l) 在ICS不支持自動生成配置變更審計記錄的情況下，需要采用其他控制措施；

m) 應對軟件包的修改進行勸阻，只限于必要的變更，且對所有的變更加以嚴格控制。

6.9.4　變更安全影響分析（CM-4）

本項要求包括：

a) 在實施變更之前，應對ICS配置變更進行分析，并判斷該變更可能帶來的潛在安全影響；

b) 在新軟件被安裝到運行環境前，在不同的測試環境中進行測試、分析，尋找由于弱點、不足、不相容或惡意所產生的安全影響；

c) 在實施ICS變更后，應檢測安全功能，以驗證變更已被正確地實現，且滿足相應系統的安全需求。

6.9.5　對變更的訪問限制（CM-5）

本項要求包括：

a) 應定義、記錄、批準和實施與ICS變更相關的物理和邏輯訪問限制。

b) 應限制ICS開發方和集成方對生產環境中的ICS及其硬件、軟件和固件的直接變更；

c) 組織應使用自動化機制執行訪問限制，支持執行動作的審計；

d) 組織應定期進行ICS變更的審計，分析未經授權的變更；

e) ICS應禁止安裝沒有得到組織認可和批準的軟件程序；

f) 對組織定義的ICS部件和系統層信息的變動，執行雙人規則；

g) 組織應限制系統開發人員和集成人員，在生產環境中只有授權才能更改硬件、軟件和固件以及系統配置信息； 定期評審并重新評估ICS開發人員／集成人員的權利；

h) 組織應保護軟件庫，以免引入未授權的代碼或惡意代碼；

i) ICS實現自動功能或機制，以發現不恰當的系統變更。

6.9.6　配置設置（CM-6）

本項要求包括：

a) 應依據安全配置檢查清單，實施ICS中所使用產品的配置，并實現與運行需求一致的模式。

b) 應基于ICS的運行需求，評估ICS組件與已設配置存在的偏差，并對其進行標識和記錄；

c) 應根據相關策略和規程，監控配置設置項的變更；

d）應使用自動機制，對配置設置進行集中管理、應用和驗證。不支持自動化機制的ICS，采用其他方式進行集中管理，應用，并驗證配置設置；

e) 應將檢測到的未授權的、與安全相關的配置變更納入到事件響應中，以確保對被檢測事件的追蹤、監視、糾正，并形成可用的歷史記錄；

f) 組織使用自動化機制，集中管理、應用并驗證配置設置；

g) 組織使用自動化機制，對未授權改變的配置改版做出響應；

h) 組織應將發現的未授權、與安全有關的配置改變，結合到組織的安全事件響應能力，以確保每一個所發現的事件予以跟蹤、糾正；

i) ICS在引入到生產環境前，應證實其符合安全配置指南；

j) 應有規程來控制在運行系統上安全軟件。

6.9.7　配置最小功能化（CM-7）

本項要求包括：

a) 應對信息系統按照僅提供最小功能進行配置，并按照定義的列表，對非必要功能、端口、協議和服務的使用進行禁止或限制；

b) 應定期對信息系統進行評審，以標識和排除不必要的功能、端口、協議和服務；

c) 為標識并消除不必要的功能、端口、協議和服務，定期對ICS進行風險評估；

d) 組織使用自動化機制，應對授權軟件程序、未授權軟件程序的執行；

e) 組織應確保提供了滿足組織需求的功能、端口、協議和服務。

6.9.8　ICS部件清單（CM-8）

本項要求包括：

a) 應制定ICS組件清單，并形成文件。該清單應能準確反映當前ICS，符合已授權的ICS邊界，達到追蹤和報告所需要的粒度；

b) 當一個完整的組件安裝和移除、或系統更新時，應更新系統組件清單；

c) 應使用自動機制來檢測ICS中新增的未授權組件或設備。當檢測到未授權的組件或設備時，應禁止網絡訪問、并進行隔離，并通知相關的管理人員；

d) 組織應通過某一個或幾個屬性標識ICS組件的可核查性；

e) 組織應驗證ICS物理邊界內的所有組件或已被列入清單，作為系統的一部分，或被其它系統所知道，作為那個系統中的一部分；

f) 組織應關注在ICS組件清單中所有配置；

g) 應定期對ICS清單進行評審和更新；

h) 記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問；

i) 系統管理員系統操作員的活動應記入日志。

6.9.9　配置管理計劃（CM-9）

本項要求包括：

a) 應制定、記錄和實施ICS的配置管理計劃，配置管理計劃應該包括：角色和職責、配置管理的流程和過程；

b) 應建立貫穿系統開發生命周期的配置管理流程,識別所有的配置項，并進行管理；

c) 應保護配置管理計劃免受未授權的泄露和修改；

d) 組織把開發配置管理過程的責任，賦予不直接參與系統開發的組織人員。