9.7　缺陷修復

9.7.1　一般要求

9.7.1.1　評估內容

詳見GB/T31168－2014中9.7.1的a）、b）、c）和d）。

9.7.1.2　評估方法

9.7.1.2.1 對a）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有缺陷修復機制；

——檢查缺陷修復機制，查看其是否有對云計算平臺缺陷進行標識、報告和修復的要求；

——訪談維護人員等相關人員，詢問其云計算平臺缺陷修復機制實現情況。

9.7.1.2.2 對b）的評估方法為：

——檢查缺陷修復機制，查看其是否有在與安全相關的軟件和固件升級包發布后及時安裝升級包的要求；

——檢查與安全相關的軟件和固件的升級包安裝記錄，查看其是否及時安裝。

9.7.1.2.3 對c）的評估方法為：

——檢查缺陷修復機制，查看其是否有在安裝前驗證軟件和固件升級包有效性以及分析可能帶來的副作用的要求；

——訪談缺陷修復相關人員，詢問其在安裝與安全缺陷相關的軟件和固件升級包之前進行過測試的情況；

——檢查軟件和固件的升級包安裝前的測試記錄、分析報告等相關文檔，查看其是否包含有效性驗證和分析對云計算平臺可能帶來的副作用的內容。

9.7.1.2.4 對d）的評估方法為：

——檢查配置管理策略與規程等相關文檔，查看其是否將缺陷修復活動納入組織配置管理過程中；

——訪談系統安全負責人或配置管理人員等相關人員，詢問其將缺陷修復活動納入組織配置管理過程中的情況。

9.7.2　增強要求

9.7.2.1　評估內容

詳見GB/T31168－2014的9.7.2。

9.7.2.2　評估方法

9.7.2.2.1 評估方法如下：

——檢查維護策略與規程等相關文檔，查看其是否建立對缺陷修復后的組件使用自動檢測的機制，是否定義了對缺陷修復后的組件進行自動檢測的頻率；

——檢查自動檢測的機制，查看其是否按照定義的頻率對缺陷修復后的組件進行檢測。