10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > 商用密码产品认证咨询 > 信息系统密码应用测评风险分析和评价及测评结论密码认证:信息系统密码应用测评风险分析和评价及测评结论
风险分析和评价
密码应用安全性评估报告中应对整体测评之后单元测评结果中的不符合项或部分符合项进行风险分析和评价。
采用风险分析的方法,针对单元测评结果中存在的不符合项或部分符合项,分析所产生的安全问题被威胁利用的可能性,判断信息系统密码应用在合规性、正确性和有效性方面的不符合所产生的安全问题被威胁利用后对信息系统造成影响的程度,以及受到威胁利用的资产自身价值,综合评价这些不符合项或部分符合项对信息系统造成的安全风险。
对于高风险的判定依据,可参考其他相关标准或文件,对未满足密码应用的正确性、有效性,或未使用经国家密码管理部门核准的密码技术且存在明显安全风险等措施,应结合具体业务场景做出高风险判定。
测评结论
密码应用安全性评估报告应给出信息系统的测评结论,确认信息系统达到相应等级保护要求的程度。
应结合整体测评和对单元测评结果的风险分析给出测评结论。
a) 符合:信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为 100 分;
b) 基本符合:信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,但存在的安全问题不会导致信息系统面临高等级安全风险,且综合得分不低于阈值;
c) 不符合:信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为 0,而且存在的安全问题会导致信息系统面临高等级安全风险,或综合得分低于阈值。
注:综合得分由各测评单元分数经整体测评修正后累加得到,可参考相关标准或文件了解详细得分规则。
想了解更多的关于密码认证信息可以经常关注我们
【相关文章】
