8.7 信息系統組件清單

8.7.1 一般要求

云服務商應：

a）制定和維護信息系統組件清單，該清單應滿足下列要求：

1）能準確反映當前信息系統的情況。

2）與信息系統邊界一致。

3）達到信息安全管理所必要的顆粒度。

4）包含[賦值：云服務商定義的為實現有效的資產追責所必要的信息]。

b）按照[賦值：云服務商定義的頻率]，審查并更新信息系統組件清單。

c）當安裝或移除一個完整的信息系統組件時，或當信息系統更新時，更新其信息系統組件清單。

d）確認云計算服務平臺的所有組件均已列入資產清單，如該組件屬于其他組織，應予以注明并說明原因。

8.7.2 增強要求

云服務商應：

a）按照[賦值：云服務商定義的頻率]，使用自動機制檢測云計算服務平臺中新增的非授權軟件、硬件或固件組件。

b）當檢測到非授權的組件或設備時應[選擇：禁止其網絡訪問；對其進行隔離；通知[賦值：云服務商定義的人員或角色]]。

c）使用自動機制維護信息系統組件清單。