相关题目
经访谈,某电子门禁系统未采用密码技术来保证电子门禁系统进出记录数据的存储完整性,但记录数据每天都定时备份到数据库中,因此针对“电子门禁记录数据存储完整性”指标可以判定为部分符合。
依据GM/T 0115 《信息系统密码应用测评要求》,对于二级信息系统,物理和环境安全层面的测评对象仅涉及电子门禁系统。
依据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,网络和通信安全层面“安全接入认证”指标,信息系统责任方可自行决定是否将其纳入标准符合性测评范围。
依据GM/T 0115 《信息系统密码应用测评要求》,在做密钥归档检查时,密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。
GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。
某三级信息系统,在测评应用和数据安全层面的“重要数据传输机密性”指标时,密评人员发现该系统部署了经检测认证合格的服务器密码机(安全等级二级)对重要数据进行加密保护,那么该测评单元的测评实施第二条可以直接判定为“符合”。
根据某三级信息系统的密码应用需求,涉及到部分第四级信息系统密码应用的相关指标要求,那么在测评时只需要现场核实这些指标落实情况即可,无需将这些特殊情况的测评实施及结论体现在密码应用安全性评估报告中。
对于三级信息系统,在实施应用和数据安全层面的“不可否认性”指标测评时,若存在相应安全需求,则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。
根据GM/T 0115 《信息系统密码应用测评要求》,对于“宜”的条款,存在两种“不适用”情形。
根据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,在实施各技术安全层面的“访问控制信息完整性”指标测评时,密评人员应根据信息系统的密码应用方案和方案评估意见判定相应指标是否按照标准符合性测评。
