8.4 變更控制

8.4.1一般要求

云服務商應：

a）明確云計算平臺中有哪些變更需要包含在系統受控配置列表中，如主機配置項、網絡配置項等。

b）明確需定期變更的受控配置列表，并按照[賦值：云服務商定義的頻率]對病毒庫、入侵檢測規則庫、防火墻規則庫、漏洞庫等與信息安全相關的重要配置項進行更新。

c）在云計算平臺上實施變更之前，對信息系統的變更項進行分析，以判斷該變更事項對云計算安全帶來的潛在影響。

d）審查所提交的信息系統受控配置的變更事項，根據安全影響分析結果決定批準或否決，并進行記錄。

e）保留信息系統中受控配置的變更記錄。

f）按照[賦值：云服務商定義的頻率]對涉及系統受控配置變更的有關活動進行審查。

g）明確受控配置變更的管理部門，負責協調和監管涉及受控配置變更的有關活動。

h）根據客戶要求，確定應報告的配置變更事項。在實施變更之前，向客戶提供下列變更信息：

1）變更計劃發生的日期和時間。

2）系統變更的詳細信息。

3）變更的安全影響分析結論。

8.4.2增強要求

云服務商應：

a）在云計算平臺上實施變更之前，對受控配置變更項進行測試、驗證和記錄。

b）對云計算平臺上的變更實施物理和邏輯訪問控制，并對變更動作進行審計。

c）限制信息系統開發方和集成方對生產環境中的信息系統及其硬件、軟件和固件進行直接變更。

d）按照[賦值：云服務商定義的頻率]，對信息系統開發方和集成方掌握的變更權限進行審查和再評估。