判断题
信息系统是否涉及GM/T 0115《信息系统密码应用测评要求》中某项测评指标的安全需求,可通过是否采用密码技术实现该条款的安全防护加以判断。
A
正确
B
错误
答案解析
正确答案:B
解析:
该题答案为B:错误。
解析如下:
题目所述判断依据“信息系统是否涉及GM/T 0115《信息系统密码应用测评要求》中某项测评指标的安全需求,可通过是否采用密码技术实现该条款的安全防护加以判断”存在逻辑偏差,因此不正确。
核心知识点解析:
GM/T 0115《信息系统密码应用测评要求》是依据《信息安全技术 网络安全等级保护基本要求》和《商用密码应用安全性评估管理办法》等相关政策标准制定的技术规范,用于指导对信息系统中密码应用的合规性、正确性和有效性进行测评。
在该标准中,测评指标的适用性(即某项安全需求是否适用于该信息系统)并非简单依据“是否采用了密码技术”来判断,而是首先基于信息系统的安全等级、业务类型、数据敏感性以及所面临的安全风险等因素,结合密码应用安全框架(如身份鉴别、访问控制、数据机密性、数据完整性、抗抵赖等安全目标),确定各项测评要求是否属于该系统应当满足的安全需求。
换言之,是否涉及某项测评指标的安全需求,应根据系统的定级结果和密码应用方案设计来确定,而不是以“是否实际采用了密码技术”作为判断标准。即使系统当前未采用密码技术,只要其安全需求按标准应使用密码技术进行防护,该项测评指标依然适用,且缺失密码技术正说明其不符合要求。
举例说明:
某三级信息系统未对重要数据进行加密存储,也未使用数字签名保障操作日志的完整性。虽然该系统未采用相关密码技术,但根据GM/T 0115,其仍涉及“数据机密性”和“数据完整性”的测评指标,必须纳入测评范围。不能因其未采用密码技术就认为不涉及这些安全需求。
因此,判断是否涉及某项测评指标的安全需求,应依据系统的安全等级和业务场景,而非技术实现现状。
结论:
题干将“是否采用密码技术”作为判断是否涉及安全需求的标准,混淆了“需求存在”与“技术实现”的区别,故该说法错误。
正确答案为:B。
相关知识点:
信息系统安全需求判断法
题目纠错
工作簿一
