首页
GM/T0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
GM/T0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。
A、正确
B、错误
正确答案:A
Tag:
信息系统
单元
风险
时间:2024-04-18 13:48:19
上一篇:
某三级信息系统,在测评应用和数据安全层面的“重要数据传输机密性”指标时,密评人员发现该系统部署了经检测认证合格的服务器密码机(安全等级二级)对重要数据进行加密保护,那么该测评单元的测评实施第二条可以直接判定为“符合”。
下一篇:
依据GM/T0115《信息系统密码应用测评要求》,在做密钥归档检查时,密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。
相关答案
1.
根据某三级信息系统的密码应用需求,涉及到部分第四级信息系统密码应用的相关指标要求,那么在测评时只需要现场核实这些指标落实情况即可,无需将这些特殊情况的测评实施及结论体现在密码应用安全性评估报告中。
2.
对于三级信息系统,在实施应用和数据安全层面的“不可否认性”指标测评时,若存在相应安全需求,则密评人员应按照GM/T0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。
3.
根据GM/T0115《信息系统密码应用测评要求》,对于“宜”的条款,存在两种“不适用”情形。
4.
根据GM/T0115《信息系统密码应用测评要求》,对于三级信息系统,在实施各技术安全层面的“访问控制信息完整性”指标测评时,密评人员应根据信息系统的密码应用方案和方案评估意见判定相应指标是否按照标准符合性测评。
5.
在测评三级信息系统时,对于设备和计算安全层面“重要可执行程序完整性、重要可执行程序来源真实性”,可由信息系统责任方自行决定是否按照GM/T0115《信息系统密码应用测评要求》进行测评和结果判定。
6.
根据GM/T0115《信息系统密码应用测评要求》,在对第三/四级信息系统开展应急处置层面“应急策略”指标测评时,测评人员根据系统方提供的如下证据判定该测评指标为“符合”。
7.
经访谈和文档审查,某电子合同系统采用电子签章系统实现合同签署行为的不可否认性,在应用和数据安全层面“不可否认性”指标测评时,核查电子签章系统产品合规性和密码算法合规性即可。
8.
依据GM/T0115《信息系统密码应用测评要求》,在进行应用和数据安全层面“重要数据存储完整性”指标测评时,如果现场条件不允许,可不对存储数据进行篡改测试。
9.
依据GM/T0115《信息系统密码应用测评要求》,在进行应用和数据安全层面“重要数据传输完整性”测评时,如果完整性保护采用的是数字签名技术,则测评人员可使用签名私钥对抓取的签名结果进行验证。
10.
依据GM/T0115《信息系统密码应用测评要求》,对于政务信息公开网站、门户网站等面向公众的业务应用系统,由于任何人均可访问,且网站数据可以公开,因此应用和数据安全层面“重要数据存储机密性”指标可判定为“不适用”。
热门答案
1.
依据GM/T0115《信息系统密码应用测评要求》,应用和数据安全层面“重要数据传输机密性”的测评对象通常包括但不限于应用系统鉴别数据、重要业务数据、个人敏感信息、审计数据、日志数据、访问控制数据、重要配置数据等。
2.
经核查,被测业务应用系统无重要信息资源安全标记功能,则应用和数据安全层面“重要信息资源安全标记完整性”指标不适用。
3.
被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。
4.
依据GM/T0115《信息系统密码应用测评要求》,对云平台的SAAS应用,应用和数据安全层面的测评由云平台负责,租户信息系统密评时可直接复用云平台测评结果。
5.
根据GM/T0115《信息系统密码应用测评要求》,应用和数据安全层面的测评对象包括业务应用系统以及提供身份鉴别、完整性保护、机密性保护、不可否认性功能的密码产品。
6.
依据GM/T0115《信息系统密码应用测评要求》,应用和数据安全层面的测评对象应包含关键业务应用,具体参考经评估通过的密码应用方案设定的范围确定;如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。
7.
某三级信息系统,在其密码应用方案中将设备和计算安全层面的“重要可执行程序完整性、重要可执行程序来源真实性”判定为不适用,且方案通过评估,则在测评过程中,依据GM/T0115《信息系统密码应用测评要求》,可直接将该项判定为不适用。
8.
依据GM/T0115《信息系统密码应用测评要求》,经核查,某系统责任单位制定有被测系统的商用密码应用方案,则“建设运行”层面的“制定密码应用方案”测评指标则判定为符合。
9.
依据GM/T0115《信息系统密码应用测评要求》,某信息系统通过堡垒机对设备进行集中运维管理,管理员使用合规的智能密码钥匙登录堡垒机,采用基于国密算法的数字签名机制进行身份鉴别,若堡垒机服务端的验签未采用经商用密码检测认证合格的密码产品实现,则堡垒机的“身份鉴别”指标应判为部分符合。
10.
依据GM/T0115《信息系统密码应用测评要求》,若堡垒机登录口令使用合规的SM3算法加密后传输,则堡垒机的身份鉴别可判定为符合。