密评专区的防护功能是否就能满足密评合规需求?
密评专区可满足密评二级、三级的安全技术合规要求,密评第一级~第四级密码应用基本要求见下表。
- 对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
- 对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照测评指标要求进行测评和结果判定。
- 对于“应”的条款,密评人员应按照测评指标要求进行测评和结果判定;若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。