2
所描述的风险控制措施是否一致,若满足适用条件,该测评指标为“不适用”;若不满足适用
条件,则应纳入标准符合性测评范围,进行测评和结果判定。
3.经认证合格的密码产品中的密钥安全符合性判定
背景:
GM/T 0115《信息系统密码应用测评要求》中,在通用测评要求中提出了“5.2密钥管理
安全性”测评要求,其指标主要涉及密码产品/服务相关的内容。
问题:
经认证合格的密码产品,《信息系统密码应用测评要求》中“5.2密钥管理安全性”测评是
否可以直接判定为“符合”?
解答:
不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判
定为“符合”的必要条件,还应当对以下内容进行核查:
(1) 该密码产品的安全级别是否满足GB/T 39786 相应等级的要求,如GB/T 39786第三
级的信息系统应当采用满足GB/T 37092第二级及以上安全要求的密码产品;
(2) 由密码产品产生的密钥在该密码产品外部进行管理,是否进行了相应保护,如密钥
在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护;
(3) 该密码产品是否按照产品配套的安全策略文档进行部署和使用,信息系统的密钥管
理制度是否能够保证该密码产品被正确地部署和使用等。
4.物理和环境安全层面的测评对象识别和确定
背景:
GB/T 39786《信息安全技术 信息系统密码应用基本要求》在8.1节中要求“a)宜采用密码
技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;b)宜采用密码技术保证
电子门禁系统进出记录数据的存储完整性;c)宜采用密码技术保证视频监控音像记录数据的
存储完整性”。相应的,GM/T 0115《信息系统密码应用测评要求》在“6.1物理和环境安全”
中规定该安全层面的测评对象包括信息系统所在机房等重要区域及其电子门禁系统和视频
监控系统。
问题:
如何确定该层面的测评对象?对于系统部署在非被测系统单位管辖范围之内的情况,如
运营商机房、云服务提供商机房、其他单位或部门管辖的机房等,在物理和环境安全层面应
如何判定该指标的适用性?如何开展密评?
解答:
物理和环境安全层面的测评对象为被测信息系统所在的物理机房,具体为物理机房的电
子门禁系统和视频监控系统。
评论0