信息系统安全审计产品分类及安全技术要求等级划分、测评方法等级划分
附
录
A (规范性)
信息系统安全审计产品分类及安全技术要求等级划分 A.1 概述 根据信息系统安全审计产品分类,分别给出了主机审计产品、网络审计产品、数据库审计产品、应用审计产品、综合审计产品安全技术要求的条款,并明确了各类审计产品基本级和增强级安全技术要求的最小集合。
A.2 主机审计产品 表A.1列出了主机审计产品安全技术要求的等级划分。
表A.1 主机审计产品安全技术要求等级划分表 安全技术要求 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 6.1.1 6.1.1 事件审计 主机事件审计 6.1.2.1 6.1.2.1 网络事件审计 —— —— 数据库事件审计 —— —— 应用事件审计 —— —— 自定义事件审计 —— 6.1.2.5 统计分析 统计 6.1.3.1 a)、b)
6.1.3.1 a)、b)
关联分析 —— 6.1.3.2 异常事件分析 —— 6.1.3.3 a)、b)
事件分级 6.1.3.4 6.1.3.4 事件告警 —— 6.1.3.5 审计结果 审计记录 主机审计记录 6.1.4.1.1 6.1.4.1.1 网络审计记录 —— —— 数据库审计记录 —— —— 应用审计记录 —— —— 统计报表 6.1.4.2 6.1.4.2 审计查阅 6.1.4.3 6.1.4.3 自身安全要求 身份标识与鉴别 6.2.1 a)~f) 6.2.1 管理能力 6.2.2 a)~c) 6.2.2 管理方式 6.2.3 a)~b) 6.2.3 审计探针安全 6.2.4 a) 6.2.4 敏感信息保护 —— 6.2.5 管理审计 6.2.6 6.2.6 存储安全 6.2.7 6.2.7 传输安全 6.2.8 6.2.8 安全支撑系统 6.2.9 6.2.9 环境适应性要求 IPv6 应用环境适用性 6.3.1 6.3.1 IPv6 管理环境适用性 6.3.2 6.3.2
双协议栈 6.3.3 6.3.3 性能测试要求 数据采集速度 —— —— 事件记录速度 —— —— 安全保障要求 开发 安全架构 6.5.1.1 6.5.1.1 功能规范 6.5.1.2 6.5.1.2 产品设计 6.5.1.3 a)、b) 6.5.1.3 实现表示 —— 6.5.1.4 指导性文档 操作用户指南 6.5.2.1 6.5.2.1 准备程序 6.5.2.2 6.5.2.2 生命周期支持 配置管理 配置管理能力 6.5.3.1.1 a)~c) 6.5.3.1.1 配置管理范围 6.5.3.1.2 a) 6.5.3.1.2 交付程序 6.5.3.2 6.5.3.2 开发安全 —— 6.5.3.3 生命周期定义 —— 6.5.3.4 工具和技术 —— 6.5.3.5 安全保障要求 测试 测试覆盖 6.5.4.1 a) 6.5.4.1 测试深度 —— 6.5.4.2 功能测试 6.5.4.3 6.5.4.3 独立测试 6.5.4.4 6.5.4.4 脆弱性评定 6.5.5 a) 6.5.5 b) 注:“——”表示不适用。
A.3 网络审计产品 表A.2列出了网络审计产品安全技术要求的等级划分。
表A.2 网络审计产品安全技术要求等级划分表 安全技术要求 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 6.1.1 6.1.1 事件审计 主机事件审计 —— —— 网络事件审计 6.1.2.2 a)~g) 6.1.2.2 数据库事件审计 —— —— 应用事件审计 —— —— 自定义事件审计 —— 6.1.2.5 统计分析 统计 6.1.3.1 6.1.3.1 关联分析 —— 6.1.3.2 异常事件分析 —— 6.1.3.3 c)、d)
事件分级 6.1.3.4 6.1.3.4 事件告警 —— 6.1.3.5 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 6.1.4.1.2 a)~e) 6.1.4.1.2 数据库审计记录 —— —— 应用审计记录 —— —— 统计报表 6.1.4.2 6.1.4.2
审计查阅 6.1.4.3 6.1.4.3 自身安全要求 身份标识与鉴别 6.2.1 a)~f) 6.2.1 管理能力 6.2.2 a)~c) 6.2.2 管理方式 6.2.3 a)~b) 6.2.3 审计探针安全 6.2.4 a) 6.2.4 敏感信息保护 —— 6.2.5 管理审计 6.2.6 6.2.6 存储安全 6.2.7 6.2.7 传输安全 6.2.8 6.2.8 安全支撑系统 6.2.9 6.2.9 环境适应性要求 IPv6 应用环境适用性 6.3.1 6.3.1 IPv6 管理环境适用性 6.3.2 6.3.2 双协议栈 6.3.3 6.3.3 性能测试要求 数据采集速度 6.4.1 6.4.1 事件记录速度 6.4.2 6.4.2 安全保障要求 开发 安全架构 6.5.1.1 6.5.1.1 功能规范 6.5.1.2 6.5.1.2 产品设计 6.5.1.3 a)、b) 6.5.1.3 实现表示 —— 6.5.1.4 指导性文档 操作用户指南 6.5.2.1 6.5.2.1 准备程序 6.5.2.2 6.5.2.2 生命周期支持 配置管理 配置管理能力 6.5.3.1.1 a)~c) 6.5.3.1.1 配置管理范围 6.5.3.1.2 a) 6.5.3.1.2 交付程序 6.5.3.2 6.5.3.2 开发安全 —— 6.5.3.3 生命周期定义 —— 6.5.3.4 工具和技术 —— 6.5.3.5 安全保障要求 测试 测试覆盖 6.5.4.1 a) 6.5.4.1 测试深度 —— 6.5.4.2 功能测试 6.5.4.3 6.5.4.3 独立测试 6.5.4.4 6.5.4.4 脆弱性评定 6.5.5 a) 6.5.5 b) 注:“——”表示不适用。
A.4 数据库审计产品 表A.3列出了数据库审计产品安全技术要求的等级划分。
表A.3 数据库审计产品安全技术要求等级划分表 安全技术要求 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 6.1.1 6.1.1 事件审计 主机事件审计 —— —— 网络事件审计 —— —— 数据库事件审计 6.1.2.3 a)~c) 6.1.2.3
应用事件审计 —— —— 自定义事件审计 —— 6.1.2.5 统计分析 统计 6.1.3.1 a)、b)、d) 6.1.3.1 a)、b)、d) 关联分析 —— 6.1.3.2 异常事件分析 —— 6.1.3.3 d)
事件分级 6.1.3.4 6.1.3.4 事件告警 —— 6.1.3.5 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 —— —— 数据库审计记录 6.1.4.1.3 a)、b) 6.1.4.1.3 应用审计记录 —— —— 统计报表 6.1.4.2 6.1.4.2 审计查阅 6.1.4.3 6.1.4.3 自身安全要求 身份标识与鉴别 6.2.1 a)~f) 6.2.1 管理能力 6.2.2 a)~c) 6.2.2 管理方式 6.2.3 a)~b) 6.2.3 审计探针安全 6.2.4 a) 6.2.4 敏感信息保护 —— 6.2.5 管理审计 6.2.6 6.2.6 存储安全 6.2.7 6.2.7 传输安全 6.2.8 6.2.8 安全支撑系统 6.2.9 6.2.9 环境适应性要求 IPv6 应用环境适用性 6.3.1 6.3.1 IPv6 管理环境适用性 6.3.2 6.3.2 双协议栈 6.3.3 6.3.3 性能测试要求 数据采集速度 6.4.1 6.4.1 事件记录速度 6.4.2 6.4.2 安全保障要求 开发 安全架构 6.5.1.1 6.5.1.1 功能规范 6.5.1.2 6.5.1.2 产品设计 6.5.1.3 a)、b) 6.5.1.3 实现表示 —— 6.5.1.4 指导性文档 操作用户指南 6.5.2.1 6.5.2.1 准备程序 6.5.2.2 6.5.2.2 生命周期支持 配置管理 配置管理能力 6.5.3.1.1 a)~c) 6.5.3.1.1 配置管理范围 6.5.3.1.2 a) 6.5.3.1.2 交付程序 6.5.3.2 6.5.3.2 开发安全 —— 6.5.3.3 生命周期定义 —— 6.5.3.4 工具和技术 —— 6.5.3.5 安全保障要求 测试 测试覆盖 6.5.4.1 a) 6.5.4.1 测试深度 —— 6.5.4.2 功能测试 6.5.4.3 6.5.4.3 独立测试 6.5.4.4 6.5.4.4
脆弱性评定 6.5.5 a) 6.5.5 b) 注:“——”表示不适用。
A.5 应用审计产品 表A.4列出了应用审计产品安全技术要求的等级划分。
表A.4 应用审计产品安全技术要求等级划分表 安全技术要求 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 6.1.1 6.1.1 事件审计 主机事件审计 —— —— 网络事件审计 —— —— 数据库事件审计 —— —— 应用事件审计 6.1.2.4 6.1.2.4 自定义事件审计 —— 6.1.2.5 统计分析 统计 6.1.3.1 a)、b) 6.1.3.1 a)、b) 关联分析 —— 6.1.3.2 异常事件分析 —— 6.1.3.3 e)
事件分级 6.1.3.4 6.1.3.4 事件告警 —— 6.1.3.5 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 —— —— 数据库审计记录 —— —— 应用审计记录 6.1.4.1.4 6.1.4.1.4 统计报表 6.1.4.2 6.1.4.2 审计查阅 6.1.4.3 6.1.4.3 自身安全要求 身份标识与鉴别 6.2.1 a)~f) 6.2.1 管理能力 6.2.2 a)~c) 6.2.2 管理方式 6.2.3 a)~b) 6.2.3 审计探针安全 6.2.4 a) 6.2.4 敏感信息保护 —— 6.2.5 管理审计 6.2.6 6.2.6 存储安全 6.2.7 6.2.7 传输安全 6.2.8 6.2.8 安全支撑系统 6.2.9 6.2.9 环境适应性要求 IPv6 应用环境适用性 6.3.1 6.3.1 IPv6 管理环境适用性 6.3.2 6.3.2 双协议栈 6.3.3 6.3.3 性能测试要求 数据采集速度 6.4.1 6.4.1 事件记录速度 6.4.2 6.4.2 安全保障要求 开发 安全架构 6.5.1.1 6.5.1.1 功能规范 6.5.1.2 6.5.1.2 产品设计 6.5.1.3 a)、b) 6.5.1.3 实现表示 —— 6.5.1.4
指导性文档 操作用户指南 6.5.2.1 6.5.2.1 准备程序 6.5.2.2 6.5.2.2 生命周期支持 配置管理 配置管理能力 6.5.3.1.1 a)~c) 6.5.3.1.1 配置管理范围 6.5.3.1.2 a) 6.5.3.1.2 交付程序 6.5.3.2 6.5.3.2 开发安全 —— 6.5.3.3 生命周期定义 —— 6.5.3.4 工具和技术 —— 6.5.3.5 安全保障要求 测试 测试覆盖 6.5.4.1 a) 6.5.4.1 测试深度 —— 6.5.4.2 功能测试 6.5.4.3 6.5.4.3 独立测试 6.5.4.4 6.5.4.4 脆弱性评定 6.5.5 a) 6.5.5 b) 注:“——”表示不适用。
A.6 综合审计产品 综合审计产品安全技术要求的等级划分,根据其支持的审计类型分别参考附录A.2、A.3、A.4、A.5。
附
录
B (规范性)
信息系统安全审计产品分类及测评方法等级划分 B.1 概述 按照附录A中主机审计产品、网络审计产品、数据库审计产品、应用审计产品、综合审计产品的安全技术要求,分别列出了对应测评方法的条款。
B.2 主机审计产品 表B.1列出了主机审计产品测评方法的等级划分。
表B.1 主机审计产品测评方法等级划分表 测评方法 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 7.2.1 a) 7.2.1 a) 事件审计 主机事件审计 7.2.2.1 a) 7.2.2.1 a) 网络事件审计 —— —— 数据库事件审计 —— —— 应用事件审计 —— —— 自定义事件审计 —— 7.2.2.5 a) 统计分析 统计 7.2.3.1 a) 1)、2)
7.2.3.1 a) 1)、2)
关联分析 —— 7.2.3.2 a) 异常事件分析 —— 7.2.3.3 a) 1)、2)
事件分级 7.2.3.4 a) 7.2.3.4 a) 事件告警 —— 7.2.3.5 a) 审计结果 审计记录 主机审计记录 7.2.4.1.1 a) 7.2.4.1.1 a) 网络审计记录 —— —— 数据库审计记录 —— —— 应用审计记录 —— —— 统计报表 7.2.4.2 a) 7.2.4.2 a) 审计查阅 7.2.4.3 a) 7.2.4.3 a) 自身安全要求 身份标识与鉴别 7.3.1 a) 1)~6) 7.3.1 a) 管理能力 7.3.2 a) 1)~3) 7.3.2 a) 管理方式 7.3.3 a) 1)、2) 7.3.3 a) 审计探针安全 7.3.4 a) 1) 7.3.4 a) 敏感信息保护 —— 7.3.5 a) 管理审计 7.3.6 a) 7.3.6 a) 存储安全 7.3.7 a) 7.3.7 a) 传输安全 7.3.8 a) 7.3.8 a) 安全支撑系统 7.3.9 a) 7.3.9 a) 环境适应性要求 IPv6 应用环境适用性 7.4.1 a) 7.4.1 a) IPv6 管理环境适用性 7.4.2 a) 7.4.2 a) 双协议栈 7.4.3 a) 7.4.3 a)
性能测试要求 数据采集速度 —— —— 事件记录速度 —— —— 安全保障要求 开发 安全架构 7.6.1.1 a) 7.6.1.1 a) 功能规范 7.6.1.2 a) 7.6.1.2 a) 产品设计 7.6.1.3 a) 1)、2) 7.6.1.3 a) 实现表示 —— 7.6.1.4 a) 指导性文档 操作用户指南 7.6.2.1 a) 7.6.2.1 a) 准备程序 7.6.2.2 a) 7.6.2.2 a) 生命周期支持 配置管理 配置管理能力 7.6.3.1.1 a) 1)~3) 7.6.3.1.1 a) 配置管理范围 7.6.3.1.2 a) 1) 7.6.3.1.2 a) 交付程序 7.6.3.2 a) 7.6.3.2 a) 开发安全 —— 7.6.3.3 a) 生命周期定义 —— 7.6.3.4 a) 工具和技术 —— 7.6.3.5 a) 安全保障要求 测试 测试覆盖 7.6.4.1 a) 1) 7.6.4.1 a) 测试深度 —— 7.6.4.2 a) 功能测试 7.6.4.3 a) 7.6.4.3 a) 独立测试 7.6.4.4 a) 7.6.4.4 a) 脆弱性评定 7.6.5 a) 1)、2) 7.6.5 a) 1)、3)
注:“——”表示不适用。
B.3 网络审计产品 表B.2列出了网络审计产品测评方法的等级划分。
表B.2 网络审计产品测评方法等级划分表 测评方法 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 7.2.1 a) 7.2.1 a) 事件审计 主机事件审计 —— —— 网络事件审计 7.2.2.2 a) 1)~7) 7.2.2.2 a) 数据库事件审计 —— —— 应用事件审计 —— —— 自定义事件审计 —— 7.2.2.5 a) 统计分析 统计 7.2.3.1 a)
7.2.3.1 a) 关联分析 —— 7.2.3.2 a) 异常事件分析 —— 7.2.3.3 a) 3)、4)
事件分级 7.2.3.4 a) 7.2.3.4 a) 事件告警 —— 7.2.3.5 a) 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 7.2.4.1.2 a) 1)~6) 7.2.4.1.2 a) 数据库审计记录 —— —— 应用审计记录 —— —— 统计报表 7.2.4.2 a) 7.2.4.2 a)
审计查阅 7.2.4.3 a) 7.2.4.3 a) 自身安全要求 身份标识与鉴别 7.3.1 a) 1)~6) 7.3.1 a) 管理能力 7.3.2 a) 1)~3) 7.3.2 a) 管理方式 7.3.3 a) 1)、2) 7.3.3 a) 审计探针安全 7.3.4 a) 1) 7.3.4 a) 敏感信息保护 —— 7.3.5 a) 管理审计 7.3.6 a) 7.3.6 a) 存储安全 7.3.7 a) 7.3.7 a) 传输安全 7.3.8 a) 7.3.8 a) 安全支撑系统 7.3.9 a) 7.3.9 a) 环境适应性要求 IPv6 应用环境适用性 7.4.1 a) 7.4.1 a) IPv6 管理环境适用性 7.4.2 a) 7.4.2 a) 双协议栈 7.4.3 a) 7.4.3 a) 性能测试要求 数据采集速度 —— —— 事件记录速度 —— —— 安全保障要求 开发 安全架构 7.6.1.1 a) 7.6.1.1 a) 功能规范 7.6.1.2 a) 7.6.1.2 a) 产品设计 7.6.1.3 a) 1)、2) 7.6.1.3 a) 实现表示 —— 7.6.1.4 a) 指导性文档 操作用户指南 7.6.2.1 a) 7.6.2.1 a) 准备程序 7.6.2.2 a) 7.6.2.2 a) 生命周期支持 配置管理 配置管理能力 7.6.3.1.1 a) 1)~3) 7.6.3.1.1 a) 配置管理范围 7.6.3.1.2 a) 1) 7.6.3.1.2 a) 交付程序 7.6.3.2 a) 7.6.3.2 a) 开发安全 —— 7.6.3.3 a) 生命周期定义 —— 7.6.3.4 a) 工具和技术 —— 7.6.3.5 a) 安全保障要求 测试 测试覆盖 7.6.4.1 a) 1) 7.6.4.1 a) 测试深度 —— 7.6.4.2 a) 功能测试 7.6.4.3 a) 7.6.4.3 a) 独立测试 7.6.4.4 a) 7.6.4.4 a) 脆弱性评定 7.6.5 a) 1)、2) 7.6.5 a) 1)、3)
注:“——”表示不适用。
B.4 数据库审计产品 表B.3列出了数据库审计产品测评方法的等级划分。
表B.3 数据库审计产品测评方法等级划分表 测评方法 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 7.2.1 a) 7.2.1 a) 事件审计 主机事件审计 —— —— 网络事件审计 —— ——
数据库事件审计 7.2.2.3 a) 1)~3) 7.2.2.3 a) 应用事件审计 —— —— 自定义事件审计 —— 7.2.2.5 a) 统计分析 统计 7.2.3.1 a)
7.2.3.1 a) 关联分析 —— 7.2.3.2 a) 异常事件分析 —— 7.2.3.3 a) 4)
事件分级 7.2.3.4 a) 7.2.3.4 a) 事件告警 —— 7.2.3.5 a) 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 —— —— 数据库审计记录 7.2.4.1.3 a) 1)、2) 7.2.4.1.3 a) 应用审计记录 —— —— 统计报表 7.2.4.2 a) 7.2.4.2 a) 审计查阅 7.2.4.3 a) 7.2.4.3 a) 自身安全要求 身份标识与鉴别 7.3.1 a) 1)~6) 7.3.1 a) 管理能力 7.3.2 a) 1)~3) 7.3.2 a) 管理方式 7.3.3 a) 1)、2) 7.3.3 a) 审计探针安全 7.3.4 a) 1) 7.3.4 a) 敏感信息保护 —— 7.3.5 a) 管理审计 7.3.6 a) 7.3.6 a) 存储安全 7.3.7 a) 7.3.7 a) 传输安全 7.3.8 a) 7.3.8 a) 安全支撑系统 7.3.9 a) 7.3.9 a) 环境适应性要求 IPv6 应用环境适用性 7.4.1 a) 7.4.1 a) IPv6 管理环境适用性 7.4.2 a) 7.4.2 a) 双协议栈 7.4.3 a) 7.4.3 a) 性能测试要求 数据采集速度 —— —— 事件记录速度 —— —— 安全保障要求 开发 安全架构 7.6.1.1 a) 7.6.1.1 a) 功能规范 7.6.1.2 a) 7.6.1.2 a) 产品设计 7.6.1.3 a) 1)、2) 7.6.1.3 a) 实现表示 —— 7.6.1.4 a) 指导性文档 操作用户指南 7.6.2.1 a) 7.6.2.1 a) 准备程序 7.6.2.2 a) 7.6.2.2 a) 生命周期支持 配置管理 配置管理能力 7.6.3.1.1 a) 1)~3) 7.6.3.1.1 a) 配置管理范围 7.6.3.1.2 a) 1) 7.6.3.1.2 a) 交付程序 7.6.3.2 a) 7.6.3.2 a) 开发安全 —— 7.6.3.3 a) 生命周期定义 —— 7.6.3.4 a) 工具和技术 —— 7.6.3.5 a) 安全保障要求 测试 测试覆盖 7.6.4.1 a) 1) 7.6.4.1 a) 测试深度 —— 7.6.4.2 a) 功能测试 7.6.4.3 a) 7.6.4.3 a)
独立测试 7.6.4.4 a) 7.6.4.4 a) 脆弱性评定 7.6.5 a) 1)、2) 7.6.5 a) 1)、3)
注:“——”表示不适用。
B.5 应用审计产品 表B.4列出了应用审计产品测评方法的等级划分。
表B.4 应用审计产品测评方法等级划分表 测评方法 基本级对应章条号 增强级对应章条号 安全功能要求 数据采集 7.2.1 a) 7.2.1 a) 事件审计 主机事件审计 —— —— 网络事件审计 —— —— 数据库事件审计 —— —— 应用事件审计 7.2.2.4 a) 7.2.2.4 a) 自定义事件审计 —— 7.2.2.5 a) 统计分析 统计 7.2.3.1 a) 1)、2)
7.2.3.1 a) 1)、2)
关联分析 —— 7.2.3.2 a) 异常事件分析 —— 7.2.3.3 a) 5)
事件分级 7.2.3.4 a) 7.2.3.4 a) 事件告警 —— 7.2.3.5 a) 审计结果 审计记录 主机审计记录 —— —— 网络审计记录 —— —— 数据库审计记录 —— —— 应用审计记录 7.2.4.1.4 a) 7.2.4.1.4 a) 统计报表 7.2.4.2 a) 7.2.4.2 a) 审计查阅 7.2.4.3 a) 7.2.4.3 a) 自身安全要求 身份标识与鉴别 7.3.1 a) 1)~6) 7.3.1 a) 管理能力 7.3.2 a) 1)~3) 7.3.2 a) 管理方式 7.3.3 a) 1)、2) 7.3.3 a) 审计探针安全 7.3.4 a) 1) 7.3.4 a) 敏感信息保护 —— 7.3.5 a) 管理审计 7.3.6 a) 7.3.6 a) 存储安全 7.3.7 a) 7.3.7 a) 传输安全 7.3.8 a) 7.3.8 a) 安全支撑系统 7.3.9 a) 7.3.9 a) 环境适应性要求 IPv6 应用环境适用性 7.4.1 a) 7.4.1 a) IPv6 管理环境适用性 7.4.2 a) 7.4.2 a) 双协议栈 7.4.3 a) 7.4.3 a) 性能测试要求 数据采集速度 —— —— 事件记录速度 —— —— 安全保障要求 开发 安全架构 7.6.1.1 a) 7.6.1.1 a) 功能规范 7.6.1.2 a) 7.6.1.2 a)
产品设计 7.6.1.3 a) 1)、2) 7.6.1.3 a) 实现表示 —— 7.6.1.4 a) 指导性文档 操作用户指南 7.6.2.1 a) 7.6.2.1 a) 准备程序 7.6.2.2 a) 7.6.2.2 a) 生命周期支持 配置管理 配置管理能力 7.6.3.1.1 a) 1)~3) 7.6.3.1.1 a) 配置管理范围 7.6.3.1.2 a) 1) 7.6.3.1.2 a) 交付程序 7.6.3.2 a) 7.6.3.2 a) 开发安全 —— 7.6.3.3 a) 生命周期定义 —— 7.6.3.4 a) 工具和技术 —— 7.6.3.5 a) 安全保障要求 测试 测试覆盖 7.6.4.1 a) 1) 7.6.4.1 a) 测试深度 —— 7.6.4.2 a) 功能测试 7.6.4.3 a) 7.6.4.3 a) 独立测试 7.6.4.4 a) 7.6.4.4 a) 脆弱性评定 7.6.5 a) 1)、2) 7.6.5 a) 1)、3)
注:“——”表示不适用。
A.6 综合审计产品 综合审计产品测评方法的等级划分,根据其支持的审计类型分别参考附录B.2、B.3、B.4、B.5。
下一篇:供应商开发申请表