9.3 維護工具

9.3.1 一般要求

云服務商應審批、控制并監視維護工具的使用。

9.3.2 增強要求

云服務商應：

a）檢查由維護人員帶入設施內部的維護工具，以確保維護工具未被不當修改。

b）在使用診斷或測試程序前，對其進行惡意代碼檢測。

c）為防止具有信息存儲功能的維護設備在非授權情況下被轉移出云服務商的控制范圍，采取以下一種或多種措施，并獲得本組織安全責任部門的批準：

1）確認待轉移設備中沒有云服務商和用戶的信息。

2）凈化或破壞設備。

3）將設備留在場所內部，規定不得移出。