4375.依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的测评对象应包含关键业务应用,具体参考经评估通过的密码应用方案设定的范围确定;如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。

好的，我们来解析一下这道判断题。 ### 题目解析 **题目：** 依据GM/T 0115 《信息系统密码应用测评要求》，应用和数据安全层面的测评对象应包含关键业务应用，具体参考经评估通过的密码应用方案设定的范围确定；如无密码应用方案，应根据网络安全等级保护定级报告描述的范围确定。 **答案：** 正确 ### 解析 1. **测评对象应包含关键业务应用：** - **解释：** 在进行信息系统密码应用测评时，需要重点关注那些对业务运行至关重要的应用。这些关键业务应用通常涉及敏感数据的处理和传输，因此必须确保其安全性。 - **示例：** 假设一个银行系统，其中的转账功能是一个关键业务应用。在进行密码应用测评时，必须检查转账功能是否使用了合适的加密算法和密钥管理机制，以确保资金的安全。 2. **具体参考经评估通过的密码应用方案设定的范围确定：** - **解释：** 如果已经有一个经过评估并通过的密码应用方案，那么测评对象的范围应该严格按照该方案中定义的内容来进行。这样可以确保测评的准确性和一致性。 - **示例：** 假设某公司已经制定并评估通过了一个密码应用方案，该方案明确指出需要对财务系统、客户管理系统和内部通信系统进行密码应用测评。那么在实际测评时，就应该重点检查这些系统的密码应用情况。 3. **如无密码应用方案，应根据网络安全等级保护定级报告描述的范围确定：** - **解释：** 如果没有专门的密码应用方案，那么可以参考网络安全等级保护定级报告来确定测评对象的范围。网络安全等级保护定级报告通常会详细描述系统的安全需求和保护措施，可以作为测评的依据。 - **示例：** 假设某公司的网络安全等级保护定级报告中提到，公司的核心业务系统（如生产系统、销售系统）需要达到三级保护标准。那么在进行密码应用测评时，就应该重点检查这些系统的密码应用情况，确保其符合三级保护的要求。 ### 为什么选“正确” - **理由：** 这个题目描述的内容完全符合GM/T 0115 《信息系统密码应用测评要求》的规定。它强调了在进行密码应用测评时，需要关注关键业务应用，并且测评对象的范围应该有明确的依据，要么是经过评估通过的密码应用方案，要么是网络安全等级保护定级报告。这样的规定确保了测评的全面性和准确性。