GB/T 39786—2021 《信息安全技术信息系统密码应用基本要求》9.7节a)条款规定“应依据密码相关标准和密码应用需求,制定密码应用方案”。
但很多已建信息系统,并没有在系统规划时制定密码应用方案。
在依据GB/T 39786—2021 9.7 a)条款密评时,密码应用方案该如何理解?
对于已建信息系统,其密码应用方案并不追溯到系统最初规划时的方案,该信息系统根据相关标准、密码应用需求以及前期密评的整改建议,制定的密码应用改造方案可视为该系统的密码应用方案。
后续,即可依据GM/T 0115《信息系统密码应用测评要求》的相关要求进行判定。
需要说明的是,对于新建信息系统,除依据GM/T 0115进行符合性判定外,还应按照《信息系统密码应用高风险判定指引》进行风险评价。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容