GBT+43206-2023 信息安全技术-信息系统密码应用测评要求
Laiyong Wang Lv6

文件下载地址:< https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=EE1B34C97A17C6F13FA9A9D891C144C2>

本文简单记录通用测评要求、技术测评要求、管理测评要求三个章节及部分知识点


第五章:通用测评要求

  1. 密码算法
  2. 密码技术
  3. 密码产品
  4. 密码服务
  5. 密钥管理(密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节)

第六章:技术测评要求

  1. 物理和环境
  • 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
  • 测试指标
    • 身份鉴别
    • 电子门禁记录数据存储完整性
    • 视频监控记录数据存储完整性
  1. 网络和通信
  • 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
  • 测试指标
    • 身份鉴别
    • 通信数据完整性
    • 通信过程中重要数据的机密性
    • 网络边界访问控制信息的完整性
    • 安全接入认证
  1. 设备和计算
  • 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
  • 测试指标
    • 身份鉴别
    • 远程管理通道安全
    • 系统资源访问控制信息完整性
    • 重要信息资源安全标记完整性
    • 日志记录完整性
    • 重要可执行程序完整性、重要可执行程序来源真实性
  1. 应用和数据安全
  • 测试方式:访谈、文档审查、实地查看、配置检查、工具测试
  • 测试指标
    • 身份鉴别
    • 访问控制信息完整性
    • 重要信息资源安全标记完整性
    • 重要数据传输机密性
    • 重要数据传输完整性
    • 重要数据存储机密性
    • 重要数据存储完整性
    • 不可否认性

第七章:管理测评要求

  1. 管理制度
  • 测试方式:访谈、文档审查
  • 测试指标
    • 密码应用安全管理制度(具备)
    • 密钥管理规则
    • 操作流程(建立)
    • 安全管理制度(定期修订)
    • 管理制度发布流程(明确)
    • 制度执行过程记录(留存)
  1. 人员管理
  • 测试方式:访谈、文档审查
  • 测试指标
    • 密码相关法律法规和密码管理制度(了解并遵守)
    • 密码应用岗位责任制度(建立)
    • 上岗人员培训制度(建立)
    • 安全岗位考核(定期进行)
    • 关键岗位人员保密制度(建立)
  1. 建设运行
  • 测试方式:访谈、文档审查
  • 测试指标
    • 密码应用方案(制定)
    • 密钥安全管理策略
    • 实施方案(制定)
    • 投入运行前的密码应用安全性评估
    • 投入运行后的密码应用安全性评估(定期攻防演练)
  1. 应急处置
  • 测试方式:访谈、文档审查
  • 测试指标
    • 应急策略
    • 事件处置
    • 处置情况上报(向有关主管部门上报)

测评结果综合评定

依据整体测评和风险分析结论,结果分为三级:

  • 符合

    • 判定条件
      信息系统所有单元测评结果不存在不符合项和部分符合项(即100%达标)。
  • 基本符合

    • 判定条件
      存在不符合项或部分符合项,与测评指标有差距,但未导致高安全风险
    • 风险要求
      残余风险需在可控范围内,通过整改可消除。
  • 不符合

    • 判定条件(满足任意一条即成立):
    1. 存在不符合项/部分符合项,且与测评指标存在较大差距
    2. 不符合项/部分符合项导致信息系统高安全风险(如密钥明文存储)。

图片(GB/T39786-2021管理评估指标)

upload successful

upload successful