@局外人
2年前 提问
1个回答
商用密码应用安全性评估应当与什么相衔接
帅末
2年前
商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。 商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统,评估的内容包括密码应用安全的三个方面:合规性、正确性和有效性。
依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制,主要包括四个阶段。
1)测评准备阶段
收集被测系统的相关资料信息,全面掌握被测系统密码使用的详细情况,为测评工作的开展打下基础。
2)方案编制阶段
正确合理确定测评对象、测评边界、测评指标等内容,并依据技术标准、规范编制测评方案、测评结果记录表格,测评方案应通过技术评审并有相关记录。
3)现场测评阶段
严格执行测评方案中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整地填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的密码安全防护状况,测评过程应予以监督并记录。特别需要强调的是,测评过程中,要强化对系统数据的获取和分析,能够发现系统的漏洞和密码应用的问题。
4)报告编制阶段
通过对测评数据的综合分析得出被测信息系统密码安全护现状与相应的技术标准要求之间的差距,分析差距可能导致被测系统面临的风险,给出测评结论,形成测评报告,测评报告应依据国家密码管理部门统一编制的报告模板的格式和内容要求编写;测评报告应包括所有测评结果、根据这些结果做出的专业判断,以及理解和解释这些结果所需要的相关信息,以上信息均应正确、准确、清晰地表述。