4.5 密评管理测评要求

词条

|

内容

—|—

层面

|

管理制度（包括6个测评单元）

单元-1

|

具备密码应用安全管理制度（1-4级）

|

测评指标：具备密码应用安全管理制度，包括人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度

测评对象：安全管理制度类文档

测评实施：核查各项安全管理制度文档是否包含人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度

结果判定：同上

单元-2

|

密钥管理规则（1-4级）

单元-3

|

建立操作规程（2-4级）

单元-4

|

定期修订阿暖管理制度（3-4级）

单元-5

|

明确管理制度发布流程（3-4级）

单元-6

|

制度执行过程记录留存（3-4级）

层面

|

人员管理（包括5个测评单元）

单元-1

|

了解并遵守密码相关法律法规和密码管理制度（1-4级）

单元-2

|

建立密码应用岗位责任制度（2-4级）

单元-3

|

建立上岗人员培训制度（2-4级）

单元-4

|

定期进行安全岗位人员考核（3-4级）

单元-5

|

建立关键岗位人员保密制度和调离制度（1-4级）

层面

|

建设运行（包括5个测评单元）

单元-1

|

制定密码应用方案（1-4级）

单元-2

|

制定密钥安全管理策略（1-4级）

单元-3

|

制定实施方案（1-4级）

单元-4

|

投入运行前进行密码应用安全性评估（1-4级 可宜应应）

单元-5

|

定期开展密码应用安全性评估及攻防对抗演习（3-4级）

层面

|

应急处置（包括3个测评单元）

单元-1

|

应急策略（1-4级）

单元-2

|

事件处置（3-4级）

单元-3

|

向有关主管部门上报处置情况（3-4级）

4.6 测评过程指南

词条

|

内容

—|—

密评时遵循原则

|

1. 客观公正性原则（最小主观判断情形下）
2. 可重用性原则（包括商用密码检测认证结果、密码应用安全性评估的测评结果）
3. 可重复性和可再现性原则
4. 结果完善性原则（GM/T0115各个要求项内容的基础上）

测评风险识别

|

1. 验证测试可能影响被测信息系统正常运行
2. 工具测试可能影响被测信息系统正常运行
3. 可能导致被测信息系统敏感信息泄露
4. 其他可能面临的风险（可能出现被测系统可用性、机密性和完整性的风险）

测评风险规避

|

1. 签署委托测评协议书（测评工作正式开始之前，明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等。
2. 签署保密协议
3. 签署现场测评授权书（对系统及数据进行备份、采用适当的方法进行风险规避，并针对可能出现的时间制定应急处置方案。
4. 现场测评要求（避开业务高峰期在空闲时测试；在模拟/仿真环境下开展测评工作；需要上机验证时，密评人员提出需要验证的内容，由被测单位的技术人员进行实际操作；整个现场测评过程，由被测单位和测评方相关人员进行监督。完成后，密评人员交回所有权限及文档，并将测评现场环境恢复至测评前状态。）

测评过程前

|

需要对被测信息系统的密码应用方安进行评估，通过评估的密码应用方案可以作为测评实施的依据。（信息系统没有密码应用方案或者密码应用方案没通过评估，如何处理？？