4389.对于三级信息系统,在实施应用和数据安全层面的“不可否认性”指标测评时,若存在相应安全需求,则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。

好的，我们来解析一下这道判断题。 ### 题目解析 **题目：** 对于三级信息系统，在实施应用和数据安全层面的“不可否认性”指标测评时，若存在相应安全需求，则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。 **答案：** 正确 ### 解析 1. **三级信息系统**： - 三级信息系统是指根据国家信息安全等级保护制度，被评定为第三级的信息系统。这类系统通常涉及重要的业务数据和关键业务流程，对安全性的要求较高。 2. **应用和数据安全层面的“不可否认性”**： - “不可否认性”（Non-repudiation）是信息安全的一个重要属性，指的是确保信息的发送者不能否认其发送行为，接收者也不能否认其接收行为。简单来说，就是确保信息的发送和接收过程是可验证的，防止任何一方事后抵赖。 - 在应用和数据安全层面，不可否认性通常通过数字签名、时间戳等技术手段实现。 3. **若存在相应安全需求**： - 这里强调的是，只有在系统确实有不可否认性的安全需求时，才需要进行相应的测评。并不是所有三级信息系统都需要进行不可否认性的测评，但如果有这样的需求，就必须进行。 4. **密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定**： - GM/T 0115 是国家标准《信息系统密码应用测评要求》，它规定了如何对信息系统中的密码应用进行测评的具体要求和方法。 - 密评人员（密码应用测评人员）在进行不可否认性指标测评时，必须严格按照GM/T 0115中的相关指标和要求来进行，以确保测评的科学性和规范性。 ### 为什么选“正确” - **符合标准要求**：题目中提到的测评和结果判定方法完全符合GM/T 0115标准的要求。这是国家规定的测评标准，密评人员必须遵守。 - **条件明确**：题目中明确了“若存在相应安全需求”，这意味着测评是有条件的，不是无条件进行的。这一点也是正确的，因为并不是所有的三级信息系统都需要进行不可否认性的测评。 ### 示例 假设有一个三级信息系统，用于处理银行的交易记录。为了确保交易的安全性和可靠性，该系统需要实现不可否认性，即确保每一笔交易的发起者不能否认其交易行为。在这种情况下，密评人员就需要按照GM/T 0115的标准，对该系统的不可否认性进行测评，确保其符合安全要求。