DCID 6/3 机密性要求保护级别 4 报告

此报告会分析 Web 应用程序扫描的结果,以检测系统可能的机密性需求违例,这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 4 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。

它为什么重要

此指令为在信息系统(IS)中存储、处理和交流机密情报信息制定安全策略和过程。信息系统是指用于语音和数据(数字或模拟)的采集、存储、操作、管理、移动、控制、显示、切换、互换、传输或接收的任何软件、固件或硬件。

此策略适用于所有美国政府组织、其商业承包商以及处理、存储或交流情报信息的联合政府信息系统。

鉴定过程

由 DCI 颁布的 Protecting Sensitive Compartmented Information Within Information Systems 手册提供了信息系统鉴定所需的 11 个步骤。这些步骤包括:

  1. 确定关注级别
  2. 确定保护级别
  3. 确定互连系统要求
  4. 确定技术安全和保障要求
  5. 确定必需文档和测试活动
  6. 编写系统安全计划
  7. 验证实施的安全措施
  8. 针对安全要求进行测试
  9. 准备认证包
  10. 转发认证包
  11. 由 DAA 决定鉴定