59.根据《密码法》,各级人民政府及其有关部门应当遵循( ),依法平等对待包括外商投资企业在内的商用密码从业单位。

4744.对各个层面的“身份鉴别”指标测试时,主要检查所使用的密码算法是否合规和相应的密钥管理是否安全,抗重放攻击不是该指标的考察范围。

4743.某单位规划在2023年新建一个三级信息系统(协同办公信息系统),按照《国家政务信息化项目建设管理办法》(国办发[2019] 57号)要求,系统建设完成后应通过商用密码应用安全性评估。为简化招投标流程,A单位将密评事项在建设之初,就全权委托给系统建设总集成商单位B,由B单位选择相应密评机构,并B单位与密评机构签订测评委托协议,向密评机构支付密评费用,三方约定密评机构出具的最终密评报告仅交付给 A, 根据《商用密码应用安全性评估报告模板(2023版)》,这种情况符合密评管理要求。

4742.根据《商用密码应用安全性评估报告模板(2023版)》,密评结果记录应形成单独的文件,在密评结束后由密评机构归档,不用作为附件附在密评报告后面,密码管理部门需要检查时可要求密评机构提供。

4741.根据《商用密码应用安全性评估报告模板(2023版)》,当被测信息系统中存在可能涉及高风险的安全问题,但因为具备一定的缓解措施而降低为中风险时,应在信息系统密评报告测评结果记录部分修正测评结果为部分符合。

4740.根据《商用密码应用安全性评估报告模板(2023版)》,当被测信息系统经过测评结果修正,涉及到单元间或层面间的分值调整时,在信息系统密评报告的“检测结果记录”部分将测评对象及测评单元的原始分值替换为调整后的得分即可。

4739.某三级信息系统在其通过密评的密码应用方案中将“不可否认性”作为不适用项,并说明系统无不可否认性保护需求,密评机构测评人员在实际测评过程中,发现该系统存在不可否认性应用场景,依据通过密评的密码应用方案,应在信息系统密评报告“检测结果记录”部分将该项判定为“不适用”。

4738.被测系统责任单位制定有密码应用应急处置方案,但截至目前系统未发生过密码应用相关安全事件,根据《商用密码应用安全性评估报告模板(2023版)》,应在信息系统密评报告的“检测结果记录”部分将“事件处置”、“向有关主管部门上报处置情况”两个测评项判定为“不适用”。

4737.在《商用密码应用安全性评估报告模板(2023版)》中,可按照威胁类型和威胁发生频率进行风险分析,并将单元测评后的部分符合项或不符合项逐一进行关联威胁确认、风险分析和风险等级判定。

4736.密评人员在编制系统密评报告风险分析部分时,将网络和通信安全“通信过程中重要数据的机密性 ”测评单元降至中低风险,并给出如下分析:在网络和通信安全层面未采用密码技术建立安全通信信道,但采用了符合要求的密码技术对重要数据传输机密性进行保护,因此“通信过程中重要数据的机密性”的风险等级可以酌情降低。报告审核人员认为该风险缓解分析是到位的。

4735.根据《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告的风险分析内容时,如果不存在《商用密码应用安全性评估高风险判定指引》中的高风险项,则可以判定被测系统一定不会面临高风险。