GQQQy
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
GQQQy2
風險管理(專業級)RM/PL
高級信息系統項目管理師
參考的標準主要分為兩類:
第一類是基本要求
- GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》
《信息安全技術 信息系統密碼應用基本要求》(GB/T 39786-2021,以下簡稱《基本要求》),這是密碼應用的綱領性、框架性標準,也是安全性評估的頂層準則。《基本要求》在給出總體性要求的基礎上,對密碼應用提出了4個方面的技術要求,分別為:物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全,以及4個方面的管理要求,分別為:管理制度、人員管理、建設運行、應急處置。
《基本要求》對每一個密碼應用的要求項,采用“應”“宜”“可”來表達不同的約束程度。以等保三級系統為例,《基本要求》制定了49條指標,其中“應”30條、“宜”14條、“可”1條,另外還包括“《信息安全技術 密碼模塊安全要求》(GB/T 37092-2018)中關于二級及以上密碼產品要求”4條。
第二類是評估方法
- GM/T 0115-2021《信息系統密碼應用測評要求》
《信息系統密碼應用測評要求》(GM/T 0115-2021),這是為配合《基本要求》的貫徹實施、更好地指導和規范密評工作而制定的兩部行業標準,已于2022年5月1日起正式實施。馬原說:“在一項完整的密評任務中,GM/T 0115自下而上地提出了對測評活動的要求。
- GM/T 0116-2021《信息系統密碼應用測評過程指南》
《信息系統密碼應用測評過程指南》(GM/T 0116-2021),這是為配合《基本要求》的貫徹實施、更好地指導和規范密評工作而制定的兩部行業標準,已于2022年5月1日起正式實施。馬原說:“在一項完整的密評任務中,GM/T 0116從測評準備、方案編制、現場測評、分析和報告編制全過程對測評活動進行指導。”
- 《信息系統密碼應用高風險判定指引》
《信息系統密碼應用高風險判定指引》基于當前密碼產品的發展現狀,聚焦安全問題被威脅利用后對信息系統(主要是數據資產)造成的影響程度,給出信息系統密碼應用過程中可能存在的高風險安全問題、可能的緩解措施和風險評價。
- 《商用密碼應用安全性評估量化評估規則》
《商用密碼應用安全性評估量化評估規則》的主要內容是如何對各應用點進行打分判定并給出定量評估結果,其編制原則是:鼓勵使用密碼技術,特別鼓勵使用合規的密碼算法/技術/產品/服務;優先在網絡和通信安全、應用和數據安全層面推進密碼技術應用。
推薦文章
