密评“应、宜、可”极简版

2023-07-11
2023-07-12
2 min read
Hits

  本文是博主在同事对密评相关国标和行标归纳总结的基础上,又提炼出的“极简版”——只保留了各个控制点的“应、宜、可”,而不关注具体的条款内容。

物理和环境安全

控制点第四级第三级第二级第一级
身份鉴别
电子门禁存储完整性
视频监控存储完整性//

网络和通信安全

控制点第四级第三级第二级第一级
身份鉴别
通信数据完整性
通信数据机密性
网络边界访问控制信息完整性
安全接入认证//

设备和计算安全

控制点第四级第三级第二级第一级
身份鉴别
远程管理通道安全//
系统资源访问控制完整性
重要信息资源安全标记完整性//
日志记录完整性
重要可执行程序完整性和来源真实性//

应用和数据安全

控制点第四级第三级第二级第一级
身份鉴别
访问控制信息完整性
重要信息资源安全标记完整性//
重要数据传输机密性
重要数据存储机密性
重要数据传输完整性
重要数据存储完整性
不可否认性

管理制度

控制点第四级第三级第二级第一级
具备密码应用安全管理制度
密钥管理规则
建立操作规程/
定期修订安全管理制度//
明确管理制度发布流程//
制度执行过程记录留存//

人员管理

控制点第四级第三级第二级第一级
遵守法律法规和管理制度
建立密码应用岗位责任制
建立上岗人员培训制度/
定期安全岗位人员考核/
建立关键岗位人员保密和调离制度//

建设运行

控制点第四级第三级第二级第一级
制定密码应用方案
制定密钥安全管理策略
制定实施方案
投入运行前进行密评
定期开展密评及攻防演习//

应急处置

控制点第四级第三级第二级第一级
应急策略
事件处置//
向有关部门上报//
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.