×
多选题
3328.根据《商用密码应用安全性评估报告模板(2023版)》,下列关于密码应用方案密评报告和信息系统密评报告的说法中,错误的是()。
A
根据“三同步一评估”的要求,在规划阶段,评估对象是信息系统的密码应用方案,在建设和运行阶段,评估对象是实际的信息系统
B
密码应用方案密评的评估结论中,可能存在“通过”和“不通过”判定 ,也可能存在“修改后通过”的判定
C
在对密码应用方案进行密评时,如初步量化评估分数达到了阈值的要求,则方案评估结论即可为“通过”
D
信息系统密评报告中的“检测结果记录”中,“安全管理”层面的测评单元得分仅可能为1分、0.5分和 0分
答案解析
正确答案:BC
解析:
解析:A可参考《商用密码应用与安全性评估》第1.2.3密码应用安全性评估的定位:在计划(Plan)阶段,应详细梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求,定义密码应用安全需求,设计密码应用总体架构和详细方案,也就是设计出具体的密码应用方案,包括拟使用的密码组件、密码产品、协议、服务等密码支撑资源。根据《商用密码应用安全性评估管理办法》的要求,在信息系统规划阶段,信息系统责任方应当依据密码技术标准,制定密码应用方案,组织专家或委托具有相关资质的测评机构进行评估。对密码应用方案的评估是保证计划(Plan)阶段有效性(密码应用方案的合理性)的必要手段,密码应用方案经过评估或者整改通过后,可进入系统建设阶段,也就是信息安全管理的实施(Do)阶段。 B参考商用密码应用安全性评估报告模板(2023版)—方案密评报告中:商用密码应用安全性评估结论,只有通过或不通过两种结果 C不能仅分数达到了阈值就可以通过了,还要检查所有测评项要“通过” D参考商用密码应用安全性评估量化评估规则中5.量化规则:密码应用管理要求中,第i个安全层面的第j测评单元,根据GM/T0115-2021给出判定结果Si,j,符合为1分,不符合为0分,部分符合为0.5分。
相关知识点:
密码应用方案与系统密评报告错项
相关题目
单选题
1475.信息系统用户登录口令通过加盐的杂凑算法运算后存储在数据库中,系统本身不存储原始口令,则该系统对口令存储实现了()保护。
单选题
1474.对于数据库中的重要业务数据存储完整性保护,使用SM3算法进行保护,判定为()。
单选题
1473.某三级信息系统部署在云平台上,则承载该信息系统的云平台的安全保护等级不低于第()级。
单选题
1472.某信息系统部署了1台经检测认证合格的SSL VPN安全网关,管理员在互联网通过该SSL VPN安全网关接入系统,经抓包分析发现,使用的密码算法套件为ECC_SM4_SM3,则应用和数据安全层面“重要数据传输机密性”测评单元应判定为()。
单选题
1471.某信息系统需要采用密码技术实现数据原发行为和接收行为的不可否认性,则应采取的密码技术为()。
单选题
1470.某电商平台收集了用户的姓名、手机号、地址等信息,需要对这些信息进行存储完整性保护,则应采取的密码技术为()。
单选题
1469.某三级信息系统部署了经检测认证合格的安全认证网关(密码模块二级)实现网络通信传输保护,但该系统客户端浏览器仅支持国外密码算法,则针对网络和通信安全层面的通信过程的机密性和网络边界访问控制信息完整性两个指标的判定为()。
单选题
1468.某信息系统部署了1 台经检测认证合格的SSL VPN, 则在设备和计算安全层面, 关于该SSL VPN,哪些指标不能直接判定为符合()。
单选题
1467.经核查,某信息系统通过调用服务器密码机,对系统日志记录进行完整性保护,防止日志记录被非法篡改,则建议配置的密码算法为()。
单选题
1466.对通过工具测试抓取的数据进行分析,下列哪些说法是不正确的( )。
