密评“应、宜、可”极简版
2023-07-11
2024-12-12
2 min read
Hits
本文是博主在同事对密评相关国标和行标归纳总结的基础上,又提炼出的“极简版”——只保留了各个控制点的“应、宜、可”,而不关注具体的条款内容。
物理和环境安全(三条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 身份鉴别 | 可 | 宜 | 宜 | 应 |
| 电子门禁记录数据存储完整性 | 可 | 可 | 宜 | 应 |
| 视频监控记录数据存储完整性 | / | / | 宜 | 应 |
网络和通信安全(五条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 身份鉴别 | 可 | 宜 | 应 | 应 |
| 通信数据完整性 | 可 | 可 | 宜 | 应 |
| 通信过程中重要数据的机密性 | 可 | 宜 | 应 | 应 |
| 网络边界访问控制信息的完整性 | 可 | 可 | 宜 | 应 |
| 安全接入认证 | / | / | 可 | 宜 |
设备和计算安全(六条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 身份鉴别 | 可 | 宜 | 应 | 应 |
| 远程管理通道安全 | / | / | 应 | 应 |
| 系统资源访问控制信息完整性 | 可 | 可 | 宜 | 应 |
| 重要信息资源安全标记完整性 | / | / | 宜 | 应 |
| 日志记录完整性 | 可 | 可 | 宜 | 应 |
| 重要可执行程序完整性、重要可执行程序来源真实性 | / | / | 宜 | 应 |
应用和数据安全(八条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 身份鉴别 | 可 | 宜 | 应 | 应 |
| 访问控制信息完整性 | 可 | 可 | 宜 | 应 |
| 重要信息资源安全标记完整性 | / | / | 宜 | 应 |
| 重要数据传输机密性 | 可 | 宜 | 应 | 应 |
| 重要数据存储机密性 | 可 | 宜 | 应 | 应 |
| 重要数据传输完整性 | 可 | 宜 | 宜 | 应 |
| 重要数据存储完整性 | 可 | 宜 | 宜 | 应 |
| 不可否认性 | / | / | 宜 | 应 |
管理制度(六条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 具备密码应用安全管理制度 | 应 | 应 | 应 | 应 |
| 密钥管理规则 | 应 | 应 | 应 | 应 |
| 建立操作规程 | / | 应 | 应 | 应 |
| 定期修订安全管理制度 | / | / | 应 | 应 |
| 明确管理制度发布流程 | / | / | 应 | 应 |
| 制度执行过程记录留存 | / | / | 应 | 应 |
人员管理(五条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 遵守法律法规和管理制度 | 应 | 应 | 应 | 应 |
| 建立密码应用岗位责任制 | / | 应 | 应 | 应 |
| 建立上岗人员培训制度 | / | 应 | 应 | 应 |
| 定期安全岗位人员考核 | / | / | 应 | 应 |
| 建立关键岗位人员保密和调离制度 | 应 | 应 | 应 | 应 |
建设运行(五条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 制定密码应用方案 | 应 | 应 | 应 | 应 |
| 制定密钥安全管理策略 | 应 | 应 | 应 | 应 |
| 制定实施方案 | 应 | 应 | 应 | 应 |
| 投入运行前进行密码应用安全性评估 | 可 | 宜 | 应 | 应 |
| 定期开展密码应用安全性评估及攻防对抗演习 | / | / | 应 | 应 |
应急处置(三条)
| 测评单元 | 第一级 | 第二级 | 第三级 | 第四级 |
|---|
| 应急策略 | 可 | 应 | 应 | 应 |
| 事件处置 | / | / | 应 | 应 |
| 向有关主管部门上报处置情况 | / | / | 应 | 应 |