服务项目

密码产品认证：信息系统密码应用测评管理制度

文章录入：华道众合文章来源：华道众合添加时间：2021-1-25

1.具备密码应用安全管理制度

具体测评单元如下：

a) 测评指标

具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。（第一级到第四级）

b) 测评对象

安全管理制度类文档。

c) 测评实施

核查各项安全管理制度是否包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。

d) 结果判定

针对单个测评对象，如果以上测评实施内容为是，则该测评对象符合本单元的测评指标要求；否则，不符合或部分符合本单元的测评指标要求。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。

2.密钥管理规则

具体测评单元如下：

a) 测评指标

根据密码应用方案建立相应密钥管理规则。（第一级到第四级）

b) 测评对象

密码应用方案、密钥管理制度及策略类文档。

c) 测评实施

核查是否有通过评估的密码应用方案，并核查是否根据密码应用方案建立相应密钥管理规则（如密钥管理制度及策略类文档中的密钥全生存周期的安全性保护相关内容）且对密钥管理规则进行评审，以及核查信息系统中密钥是否按照密钥管理规则进行生存周期的管理。

d) 结果判定针对单个测评对象，如果以上测评实施内容均为是，则该测评对象符合本单元的测评指标要求；否则，不符合或部分符合本单元的测评指标要求。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。

3.建立操作规程

具体测评单元如下：

a) 测评指标

对管理人员或操作人员执行的日常管理操作建立操作规程。（第二级到第四级）

b) 测评对象

操作规程类文档。

c) 测评实施

核查是否对密码相关管理人员或操作人员的日常管理操作建立操作规程。

d) 结果判定

4.定期修订安全管理制度

具体测评单元如下：

a) 测评指标

定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或需要改进之处进行修订。（第三级到第四级）

b) 测评对象

安全管理制度类文档、操作规程类文档、记录表单类文档。

c) 测评实施

核查是否定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定；对经论证和审定后存在不足或需要改进的密码应用安全管理制度和操作规程，核查是否具有修订记录。

d) 结果判定

针对单个测评对象，如果以上测评实施内容均为是，则该测评对象符合本单元的测评指标要求；否则，不符合或部分符合本单元的测评指标要求。针对本测评单元，对该单元涉及的所有测评对象的判定结果进行汇总，如果判定结果均为符合，则本单元的测评结果为符合；如果判定结果均为不符合，则本单元的测评结果为不符合；否则，本单元的测评结果为部分符合。

5.明确管理制度发布流程

具体测评单元如下：

a) 测评指标

明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。（第三级到第四级）

b) 测评对象

安全管理制度类文档、操作规程类文档、记录表单类文档。

c) 测评实施

核查相关密码应用安全管理制度和操作规程是否具有相应明确的发布流程和版本控制。

d) 结果判定

6.制度执行过程记录留存

具体测评单元如下：

a) 测评指标

具有密码应用操作规程的相关执行记录并妥善保存。（第三级到第四级）

b) 测评对象

安全管理制度类文档、记录表单类文档。

c) 测评实施

核查是否具有密码应用操作规程执行过程中留存的相关执行记录文件。

d) 结果判定

想了解更多的关于密码产品认证信息可以经常关注我们

【相关文章】