5.15　組件真實性

5.15.1　一般要求

無。

5.15.2　增強要求

5.15.2.1　評估內容

詳見GB/T31168－2014中5.15.2的a）、b）、c）、d）、e）和f）。

5.15.2.2　評估方法

5.15.2.2.1 對a）的評估方法為：

——檢查系統開發與供應鏈安全策略與規程等相關文檔，查看其是否有制定和實施防贗品策略與規程的要求，是否有檢測并防止贗品組件進入信息系統的要求；

——訪談系統安全負責人或負責采購業務的人員等相關人員，詢問其檢測并防止贗品組件進入信息系統的措施。

5.15.2.2.2 對b）的評估方法為：

——檢查防贗品的策略與規程相關文檔，查看其是否有向正品廠商/云服務商定義的外部報告機構/云服務商定義的人員和角色或其它有關方面報告贗品組件的內容；

——訪談所定義的人員和角色等相關人員，詢問其贗品組件報告情況；

——檢查報告贗品組件的記錄等相關文檔，查看其是否按照要求報告。

5.15.2.2.3 對c）的評估方法為：

——檢查防贗品的策略與規程相關文檔，查看其是否定義了接收有關贗品組件檢測培訓的人員或角色；

——檢查有關贗品組件檢測的培訓記錄，查看其是否對所定義的人員或角色進行了培訓；

——訪談所定義的人員或角色，詢問其贗品組件檢測的培訓情況。

5.15.2.2.4 對d）的評估方法為：

——檢查防贗品的策略與規程相關文檔，查看其是否定義了在等待服務或維修，以及已送修的組件返回時，需保持配置控制權的系統組件；是否要求所定義的系統組件在等待服務或維修，以及已送修后返回時，需保持配置控制權；

——訪談系統安全負責人或維護人員等相關人員，詢問其保持系統組件配置權的情況。

5.15.2.2.5 對e）的評估方法為：

——檢查防贗品的策略與規程相關文檔，查看其是否定義了銷毀廢棄信息系統組件的技術和方法；

——檢查銷毀廢棄信息系統組件的記錄等相關文檔，查看其是否使用所定義的技術和方法銷毀廢棄的信息系統組件；

——訪談系統安全負責人或維護人員等相關人員，詢問其廢棄的系統組件銷毀情況。

5.15.2.2.6 對f）的評估方法為：

——檢查防贗品的策略與規程相關文檔，查看其是否定義了檢查信息系統中贗品組件的頻率；

——檢查信息系統中贗品組件的檢查記錄等相關文檔，查看其是否按照定義的頻率執行。