9.9　軟件、固件、信息完整性

9.9.1　一般要求

9.9.1.1　評估內容

詳見GB/T31168－2014中9.9.1的a）和b）。

9.9.1.2　評估方法

9.9.1.2.1 對a）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否建立了確保軟件、固件、信息的完整性評估流程；

——訪談維護人員等相關人員，詢問完整性評估流程的相關情況。

9.9.1.2.2 對b）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否定義了遇到非授權更改時所應檢測的軟件、固件或信息清單；

——檢查完整性評估流程，查看其是否具備檢測所定義的軟件、固件或信息遇到非授權更改的能力。

9.9.2　增強要求

9.9.2.1　評估內容

詳見GB/T31168－2014中9.9.2的a）、b）和c）。

9.9.2.2　評估方法

9.9.2.2.1 對a）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否定義了對云計算平臺進行完整性掃描并重新評估軟件、固件和信息完整性的頻率；

——訪談維護人員等相關人員，詢問其對云計算平臺進行完整性掃描和對軟件、固件和信息完整性重新評估的情況；

——檢查完整性掃描報告，查看其是否按照所定義的頻率對云計算平臺進行掃描，并對軟件、固件和信息完整性進行重新評估。

9.9.2.2.2 對b）的評估方法為：

——檢查系統設計說明書、維護策略與規程等相關文檔，查看云計算平臺是否具有檢測非授權系統變更的功能設計，是否提供了相應的響應措施；

——訪談系統安全負責人或系統開發人員等相關人員，詢問檢測非授權系統變更的實施情況；

——測試云計算平臺檢測非授權系統變更的能力，驗證其響應措施是否有效。

9.9.2.2.3 對c）的評估方法為：

——檢查維護策略與規程等相關文檔，查看其是否有在云計算平臺上安裝軟件之前驗證其完整性的要求；

——檢查完整性驗證記錄，查看其是否符合完整性驗證的要求；

——訪談維護人員等相關人員，詢問其在云計算平臺上安裝軟件之前的完整性驗證情況。