64.根据《密码法》规定,商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证( )、规则开展商用密码检测认证。

4739.某三级信息系统在其通过密评的密码应用方案中将“不可否认性”作为不适用项,并说明系统无不可否认性保护需求,密评机构测评人员在实际测评过程中,发现该系统存在不可否认性应用场景,依据通过密评的密码应用方案,应在信息系统密评报告“检测结果记录”部分将该项判定为“不适用”。

4738.被测系统责任单位制定有密码应用应急处置方案,但截至目前系统未发生过密码应用相关安全事件,根据《商用密码应用安全性评估报告模板(2023版)》,应在信息系统密评报告的“检测结果记录”部分将“事件处置”、“向有关主管部门上报处置情况”两个测评项判定为“不适用”。

4737.在《商用密码应用安全性评估报告模板(2023版)》中,可按照威胁类型和威胁发生频率进行风险分析,并将单元测评后的部分符合项或不符合项逐一进行关联威胁确认、风险分析和风险等级判定。

4736.密评人员在编制系统密评报告风险分析部分时,将网络和通信安全“通信过程中重要数据的机密性 ”测评单元降至中低风险,并给出如下分析:在网络和通信安全层面未采用密码技术建立安全通信信道,但采用了符合要求的密码技术对重要数据传输机密性进行保护,因此“通信过程中重要数据的机密性”的风险等级可以酌情降低。报告审核人员认为该风险缓解分析是到位的。

4735.根据《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告的风险分析内容时,如果不存在《商用密码应用安全性评估高风险判定指引》中的高风险项,则可以判定被测系统一定不会面临高风险。

4734.根据《商用密码应用安全性评估报告模板(2023版)》,系统密评报告中的整体测评结果为修正后的整体测评结果和量化评估分数。

4733.根据《商用密码应用安全性评估报告模板(2023版)》,编制系统密评报告时,如果安全管理四个层面均为不适用,那么该系统最高得分为70分。

4732.根据《商用密码应用安全性评估报告模板(2023版)》,如果被测系统为三级信息系统,则整体测评结果汇总表中的“符合”“部分符合”“不符合”“不适用”指标项数之和应为41。

4731.根据《商用密码应用安全性评估报告模板(2023版)》,“测评结果修正”是针对“单元测评”中所有测评指标要求的测评对象进行分析是否存在弥补的情况。

4730.在《商用密码应用安全性评估报告模板(2023版)》中,整体测评分为测评结果修正、整体测评结果和量化评估。其中测评结果修正要按测评单元、测评对象,填写弥补前和弥补后的测评结果和分值,并说明弥补原因。