2976.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方案编制活动中,测评对象确定阶段的任务描述,正确的是( )。

好的，我们来逐一分析这道多选题的各个选项，并解释为什么这些选项是正确的。 ### 题目背景 题目出自《信息系统密码应用测评过程指南》（GM/T 0116），主要涉及测评方案编制过程中测评对象确定阶段的任务描述。 ### 选项分析 **A. 描述被测信息系统时,一般以被测信息系统的网络拓扑结构为基础,采用总分式的描述方法** - **解析**：在描述被测信息系统时，通常会首先从整体上描述系统的网络拓扑结构，然后逐步细化到各个子系统或组件。这种“总分式”的描述方法有助于全面、清晰地展示系统的结构和功能。 - **示例**：假设一个银行信息系统，首先描述整个系统的网络拓扑图，包括服务器、数据库、客户端等，然后分别描述每个部分的具体功能和连接方式。 **B. 被测单位需要确定被测信息系统需要保护的核心资产,以及相应的威胁模型和安全策略** - **解析**：被测单位必须明确哪些是系统中最重要的资产（如客户数据、交易记录等），并识别可能的威胁（如黑客攻击、内部泄露等）。同时，制定相应的安全策略来保护这些资产。 - **示例**：对于一个医疗信息系统，核心资产可能是患者的病历记录，威胁模型可能包括未经授权的数据访问和数据篡改，安全策略可能包括加密存储和访问控制。 **C. 资产的价值根据资产的重要性和关键程度确定** - **解析**：资产的价值不是固定的，而是根据其在系统中的重要性和关键程度来确定的。重要的资产需要更高的保护措施。 - **示例**：在一个企业信息系统中，财务数据可能比普通员工的考勤记录更重要，因此财务数据的保护级别会更高。 **D. 核心资产及其他需要保护的配套数据、敏感安全参数的威胁模型和安全策略等均由被测单位根据密码应用方案、网络安全等级保护定级报告等确定,并由测评方进行核查和确认** - **解析**：被测单位需要根据已有的密码应用方案和网络安全等级保护定级报告来确定核心资产及其配套数据的威胁模型和安全策略。测评方则负责对这些内容进行核查和确认，确保其合理性和有效性。 - **示例**：被测单位根据网络安全等级保护定级报告，确定了核心资产为用户身份认证信息，并制定了相应的加密传输和存储策略。测评方通过审查这些策略的实施情况，确认其符合标准要求。 ### 答案选择 **答案：ABCD** 所有四个选项都是正确的，因为它们分别从不同的角度描述了测评对象确定阶段的任务，涵盖了从系统描述、核心资产确定、资产价值评估到威胁模型和安全策略的制定与核查的全过程。这些任务共同构成了一个完整的测评方案编制流程。