GBT+43206-2023 信息安全技术-信息系统密码应用测评要求
文件下载地址:< https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=EE1B34C97A17C6F13FA9A9D891C144C2>
本文简单记录通用测评要求、技术测评要求、管理测评要求三个章节及部分知识点
第五章:通用测评要求
- 密码算法
- 密码技术
- 密码产品
- 密码服务
- 密钥管理(密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节)
第六章:技术测评要求
- 物理和环境
- 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
- 测试指标
- 身份鉴别
- 电子门禁记录数据存储完整性
- 视频监控记录数据存储完整性
- 网络和通信
- 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
- 测试指标
- 身份鉴别
- 通信数据完整性
- 通信过程中重要数据的机密性
- 网络边界访问控制信息的完整性
- 安全接入认证
- 设备和计算
- 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
- 测试指标
- 身份鉴别
- 远程管理通道安全
- 系统资源访问控制信息完整性
- 重要信息资源安全标记完整性
- 日志记录完整性
- 重要可执行程序完整性、重要可执行程序来源真实性
- 应用和数据安全
- 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
- 测试指标
- 身份鉴别
- 访问控制信息完整性
- 重要信息资源安全标记完整性
- 重要数据传输机密性
- 重要数据传输完整性
- 重要数据存储机密性
- 重要数据存储完整性
- 不可否认性
第七章:管理测评要求
- 管理制度
- 测试方式:访谈、文档审查
- 测试指标
- 密码应用安全管理制度(具备)
- 密钥管理规则
- 操作流程(建立)
- 安全管理制度(定期修订)
- 管理制度发布流程(明确)
- 制度执行过程记录(留存)
- 人员管理
- 测试方式:访谈、文档审查
- 测试指标
- 密码相关法律法规和密码管理制度(了解并遵守)
- 密码应用岗位责任制度(建立)
- 上岗人员培训制度(建立)
- 安全岗位考核(定期进行)
- 关键岗位人员保密制度(建立)
- 建设运行
- 测试方式:访谈、文档审查
- 测试指标
- 密码应用方案(制定)
- 密钥安全管理策略
- 实施方案(制定)
- 投入运行前的密码应用安全性评估
- 投入运行后的密码应用安全性评估(定期攻防演练)
- 应急处置
- 测试方式:访谈、文档审查
- 测试指标
- 应急策略
- 事件处置
- 处置情况上报(向有关主管部门上报)
测评结果综合评定
依据整体测评和风险分析结论,结果分为三级:
符合
- 判定条件:
信息系统所有单元测评结果不存在不符合项和部分符合项(即100%达标)。
- 判定条件:
基本符合
- 判定条件:
存在不符合项或部分符合项,与测评指标有差距,但未导致高安全风险。 - 风险要求:
残余风险需在可控范围内,通过整改可消除。
- 判定条件:
不符合
- 判定条件(满足任意一条即成立):
- 存在不符合项/部分符合项,且与测评指标存在较大差距;
- 不符合项/部分符合项导致信息系统高安全风险(如密钥明文存储)。
图片(GB/T39786-2021管理评估指标)
