保护受控未分类信息 Rev 3

维护人员是指对系统进行硬件或软件维护的个人，而03.10.01则涉及那些维护职责使其进入系统物理防护范围内的个人的物理访问权限。监督人员的技术能力与系统维护有关，而拥有所需的访问权限则涉及系统及其附近的维护。未被先前确认为授权维护人员的个体（例如制造商、顾问、系统集成商和供应商等可能需要对系统的特权访问，例如在需要在几乎没有通知的情况下进行维护时。组织可以根据其风险评估决定向这些人员发放临时凭证。临时凭证可以用于一次性使用或在非常有限的时间段内使用。

批准、控制、监控和审查维护工具，以解决与用于系统诊断和维修操作的工具相关的安全问题。维护工具可以包括硬件和软件诊断及测试设备，以及数据包嗅探器。这些工具可能是预安装的，也可能随维护人员通过介质带入、基于云的，或从网站下载。诊断和测试程序可能成为将恶意代码传入系统的载体，无论是故意还是无意。媒体检查的示例包括检查诊断和测试程序及媒体的加密哈希或数字签名。如果组织检查包含诊断和测试程序的介质，并确定该介质还包含恶意代码，则按照事件处理政策和程序处理该事件。对系统维护工具进行定期审查可能导致撤销对过时、不受支持、不相关或不再使用的工具的批准。维护工具不涉及支持维护的硬件和软件组件，这些组件被视为系统的一部分。

非本地维护和诊断活动由通过外部或内部网络进行交流的人员执行。本地维护和诊断活动由实际在系统位置的人员进行，且不通过网络连接进行通信。用于建立非本地维护和诊断会话的身份验证技术反映了03.05.01中的要求。