×
多选题
3224.按照《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告时,针对云平台和云上应用的测评,以下表述合理的是()。
A
如果云平台为SaaS服务模式,其上运行的电子签章系统仅用于支撑云上应用合同的抗抵赖保护,而不用于云平台本身,那么在对云平台测评时,需要对电子签章系统的支撑能力进行“部分评估”,并体现在系统密评报告中
B
如果云平台已经通过密评(即获得“符合”或“基本符合”的结论)且安全等级不低于云上应用,则目前针对云平台被完全评估的支撑能力,所对应的云上应用测评对象的测评结论可以为“不适用”
C
针对云平台被部分评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的名称、量化评估分值和适用条件、风险评估情况和适用条件
D
针对云平台被完全评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的安全层面、测评对象和所涉及的指标
答案解析
正确答案:ABCD
解析:
解析:ABCD选项均为合理的表述。
A选项中提到,对于云平台为SaaS服务模式的情况,如果电子签章系统仅用于支撑云上应用合同的抗抵赖保护,而不用于云平台本身,那么在对云平台进行测评时,需要对电子签章系统的支撑能力进行“部分评估”,并在系统密评报告中体现。这是因为电子签章系统虽然不直接用于云平台本身,但是作为云上应用的一部分,其安全性也会影响到整体系统的安全性。
B选项中提到,如果云平台已经通过密评且安全等级不低于云上应用,那么针对云平台被完全评估的支撑能力,所对应的云上应用测评对象的测评结论可以为“不适用”。这是因为云平台已经通过了密评,其支撑能力已经得到验证,因此在对云上应用进行测评时可以直接参考云平台的评估结果。
C选项中提到,针对云平台被部分评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的名称、量化评估分值和适用条件、风险评估情况和适用条件。这是为了确保在系统密评报告中能够清晰地体现出云平台支撑能力的评估情况,以便后续的安全性管理和改进。
D选项中提到,针对云平台被完全评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的安全层面、测评对象和所涉及的指标。这是为了在系统密评报告中全面地描述云平台支撑能力的安全性情况,以便相关人员能够全面了解系统的安全性状况。
因此,ABCD选项均为合理的表述,是在编制系统密评报告时针对云平台和云上应用测评需要考虑的内容。
A选项中提到,对于云平台为SaaS服务模式的情况,如果电子签章系统仅用于支撑云上应用合同的抗抵赖保护,而不用于云平台本身,那么在对云平台进行测评时,需要对电子签章系统的支撑能力进行“部分评估”,并在系统密评报告中体现。这是因为电子签章系统虽然不直接用于云平台本身,但是作为云上应用的一部分,其安全性也会影响到整体系统的安全性。
B选项中提到,如果云平台已经通过密评且安全等级不低于云上应用,那么针对云平台被完全评估的支撑能力,所对应的云上应用测评对象的测评结论可以为“不适用”。这是因为云平台已经通过了密评,其支撑能力已经得到验证,因此在对云上应用进行测评时可以直接参考云平台的评估结果。
C选项中提到,针对云平台被部分评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的名称、量化评估分值和适用条件、风险评估情况和适用条件。这是为了确保在系统密评报告中能够清晰地体现出云平台支撑能力的评估情况,以便后续的安全性管理和改进。
D选项中提到,针对云平台被完全评估的支撑能力,可以在该云平台测评结论中体现相关支撑能力的安全层面、测评对象和所涉及的指标。这是为了在系统密评报告中全面地描述云平台支撑能力的安全性情况,以便相关人员能够全面了解系统的安全性状况。
因此,ABCD选项均为合理的表述,是在编制系统密评报告时针对云平台和云上应用测评需要考虑的内容。
相关知识点:
云平台测评编报,ABCD全合理
相关题目
单选题
1579.依据《信息系统密码应用高风险判定指引》中,网络通信过程中重要数据的机密性可以从()层面进行缓解,从而降低安全风险。
单选题
1578.在《信息系统密码应用高风险判定指引》中,关于指标“信息系统中使用的密码产品、密码服务应符合法律法规的相关要求”,主要是针对()系统提出的。
单选题
1577.某系统采用了未经安全性论证的密码通信协议,依据《信息系统密码应用高风险判定指引》,则该情况属于哪种风险()。
单选题
1576.依据《信息系统密码应用高风险判定指引》,以下不存在缺陷或没有安全问题警示的密码技术是()。
单选题
1575.在《信息系统密码应用高风险判定指引》中,对安全接入认证问题的风险判定适用于( )。
单选题
1574.依据《信息系统密码应用高风险判定指引》,信息系统中使用的密码产品或服务可能引起高风险的是( )。
单选题
1573.密评过程中,如果遇到《信息系统密码应用高风险判定指引》没有描述的风险判定情况,那么测评人员应( )。
单选题
1572.依据《信息系统密码应用高风险判定指引》,信息系统应用和数据层面,未采用密码技术对登录用户进行身份鉴别时,可以采用的缓解措施有()。
单选题
1571.某三级信息系统在测评过程中发现物理和环境安全层面不适用,网络和通信安全层面为0.625,设备和计算安全层面分值为0.4,应用和数据安全层面分值为0.5,安全管理四个层面分值均为1,根据《商用密码应用安全性评估量化评估规则(2021版)》,则该系统整体量化评估结果为()。
单选题
1570.在三级系统测评中,某系被测信息系统为已在建运行系统,投入运行时间为2019年1月,该次测评为首次密评,则根据《商用密码应用安全性评估量化评估规则(2021版)》,建设运行层面“投入运行前进行密码应用安全性评估”测评项的量化得分为()。
