八、 整体测评要求

8.1 概述

整体测评从单元间 、层面间等方面进行测评和综合安全分析 。整体测评包括单元间测评和层面间 测评 。
单元间测评是指对同一技术层面或管理方面内的两个或者两个以上不同测评单元间的关联进行测 评分析 ,其目的是确定这些关联对信息系统整体安全防护能力的影响 。
层面间测评是指对不同技术层面或管理方面之间的两个或者两个以上不同测评单元间的关联进行 测评分析 ,其目的是确定这些关联对信息系统整体安全防护能力的影响 。

8.2 单元间测评

在单元测评完成后 ,应对单元测评结果中存在的不符合项和部分符合项进行单元间测评 ,重点分析 信息系统中是否存在同一层面单元间的相互弥补作用 。
根据测评分析结果 ,综合判定该测评单元所对应的密码安全防护能力是否缺失 ,如果经过综合分析 单元测评中的不符合项和部分符合项未导致信息系统整体安全防护能力的缺失 ,则对该测评单元的测 评结果予以调整 。

8.3 层面间测评

在单元测评完成后 ,应对单元测评结果中存在的不符合项和部分符合项进行层面间测评 ,重点分析 信息系统中是否存在不同层面单元间的相互弥补作用 。
根据测评分析结果 ,综合判定该测评单元所对应的密码安全防护能力是否缺失 ,如果经过综合分析 单元测评中的不符合项和部分符合项未导致信息系统整体安全防护能力的缺失 ,则对该测评单元的测 评结果予以调整 。

九、风险分析和评价

密码应用安全性评估报告应对整体测评之后单元测评结果中的不符合项和部分符合项进行风险分 析和评价 。
对单元测评结果中存在的不符合项和部分符合项 ,采用风险分析方法分析密码应用在合规性 、正确 性和有效性方面对应的安全问题被威胁利用的可能性和对信息系统造成的影响 ,综合评价这些不符合 项和部分符合项对信息系统带来的不同程度的安全风险 。
不符合项和部分符合项是否会给信息系统带来高安全风险的判定依据可参考其他相关标准或文 件 。对未满足密码应用的合规性 、正确性 、有效性且存在明显安全风险的情形 ,例如使用的密码技术不 符合法律 、法规的规定和密码相关国家标准 、行业标准的有关要求 ,应结合具体业务场景做出高安全风 险判定 。

十、测评结论

信息系统密码应用测评的最终输出是密码应用安全性评估报告 ,在报告中应描述以下环节的测评 情况 :各个测评单元的测评结果 、整体测评结果 、风险分析和评价结果 , 以及测评结论等 。其中 ,测评结论基于整体测评结果和风险分析结果综合给出 ,分为如下三种 。
a) 符合 :信息系统所有单元测评结果不存在不符合项和部分符合项 。
b) 基本符合 :信 息 系 统 单 元 测 评 结 果 中 存 在 不 符 合 项 和 部 分 符 合 项 , 与 测 评 指 标 存 在 一 定 差 距 ,但存在的不符合项和部分符合项未导致信息系统高安全风险 。
c) 不符合 :信息系统单元测评结果中存在不符合项和部分符合项 , 与测评指标存在较大差距 ,或 存在的不符合项和部分符合项导致信息系统高安全风险 。