4394.依据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,网络和通信安全层面“安全接入认证”指标,信息系统责任方可自行决定是否将其纳入标准符合性测评范围。

好的，我们来分析一下这道判断题。 ### 题目背景 题目提到的是 **GM/T 0115《信息系统密码应用测评要求》**，这是中国国家密码管理局发布的一个标准，用于指导信息系统在密码应用方面的测评。题目特别关注的是 **三级信息系统** 在 **网络和通信安全层面** 的 **“安全接入认证”** 指标。 ### 题目解析 题目问的是：**对于三级信息系统，网络和通信安全层面“安全接入认证”指标，信息系统责任方可自行决定是否将其纳入标准符合性测评范围。** #### 答案：错误 ### 解析 1. **标准要求**： - **GM/T 0115** 标准对不同级别的信息系统（如一级、二级、三级等）有不同的测评要求。 - 对于 **三级信息系统**，标准中明确规定了哪些指标是必须进行测评的，这些指标是强制性的，信息系统责任方不能自行决定是否纳入测评范围。 2. **“安全接入认证”指标**： - “安全接入认证”是网络和通信安全层面的一个重要指标，它涉及到系统如何验证用户或设备的身份，确保只有合法的用户或设备能够接入系统。 - 这个指标对于保障系统的安全性和可靠性至关重要，因此在三级信息系统中是必须进行测评的。 3. **为什么答案是错误的**： - 题目中的说法是“信息系统责任方可自行决定是否将其纳入标准符合性测评范围”，这是不正确的。 - 根据 **GM/T 0115** 标准，三级信息系统的“安全接入认证”指标是强制性的，信息系统责任方没有自行决定的权利，必须按照标准要求进行测评。 ### 示例 假设你是一家银行的信息系统管理员，你们的系统属于三级信息系统。根据 **GM/T 0115** 标准，你们需要对“安全接入认证”这一指标进行测评，以确保只有经过身份验证的用户才能访问银行的敏感数据。如果你们自行决定不进行这项测评，可能会导致系统存在安全隐患，不符合国家标准的要求，从而面临合规风险。