PDF《atsec information security》

1、

2、3级认证的差别 ? 采用的风险降低方法所必须满足的目标 ? 风险降低基础设施、系统与过程的类型,这些类型必须被实现已遵从

1、2或3级认证 ? NASPO审计员遵循的过程,用以验证组织所声称的安全保障级别事实上是符合的 atsec 拥有众多的 NASPO 审计员,可以从事相关的审计工作,并颁发最终证书. atsec information security Tel: +86-10-82893001 Fax: +86-10-82890017 www.atsec.com a t s e c i n f o r m a t i o n s e c u r i t y 安全保障级别 针对最终用户,安全产品或服务的价值是一综合体现,包括所交付的安全功能、花费、制造 者阻止所有下列欺诈活动的程度. ? 窃取最终产品或关键组件 ? 窃取关键技术数据 ? 窃取关键产品专门技能或设备 ? 窃取辩论特征数据 ? 假冒忠诚客户 ? 窃取原材料 ? 窃取与公开机密或个人信息 一级认证(Class I certified):期望交付非常高级别的安全保障,通过预测和有效控制所 有形式的欺诈活动,使尝试活动能被消除.在欺诈活动发生的事件中,一级认证组织必须做好准 备以完全减轻他们的影响. 二级认证(Class II certified):制造安全产品或提供安全服务的组织,对于欺诈活动所产 生的后果是轻微的,但必须维持高级别的安全保障.这种保障级别必须是符合要求的,足以保护 最终用户在安全产品或服务中的投资. 在欺诈活动发生的事件中, 二级认证组织必须做好准备以 充分减轻他们的影响. 三级认证(Class III certified):不集中于安全产品,也不排除制造安全产品.这些产品 基本上仅遭受很小经济损失与有限后果的威胁.因此,专业的安全保障不必被担保,但必须是符 合要求的, 足以保护最终用户在安全产品中的投资. 三级认证组织必须有合适计划以减轻欺诈活 动发生时所产生的效果. 市场 有良好声誉的 NASPO 成员是受欢迎的,鼓励其运用 NASPO logo 在他们的市场材料中. 认证成员被鼓励运用 NASPO 认证 logo.这提供了公司对客户的安全利益的承诺的不同级别. NASPO 主要集中在北美市场,但认证全球的用户.如果一个美国或加拿大以外的公司想要 卖安全产品或服务到北美市场,获得 NASPO 认证将提升他们产品与服务的竞争性. 下列产品或服务的制造者或供应者将成为潜在的审计客户: ? 文档安全(电子护照、电子驾照、ATM卡等等) ? 品牌保护服务(涉及行业:奢侈品、药剂、汽车配件、化妆品、玩具等等) ? 航空绝缘材料 ? RFID应答器等等 参考文献 [1] NASPO Homepage. http://www.naspo.info [2] NASPO standard