| 测评单元 | 测评指标 | 应用要求 | 重要数据 | 加密算法 | 前提 |
| 应用和数据安全 | 身份鉴别 | 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; | 应 | 用户口令、生物特征、硬件标识、物理特征统称认证标识和认证因子 | SM3 | |
| 访问控制信息完整性 | 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; | 宜 | 重要的权限关系(功能菜单权限、人与应用权限、应用与资源权限) | SM3 | |
| 重要信息资源安全标记完整性 | 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; | 宜 | 动态/属性授权 | SM3 | 系统涉及重要信息资源安全标记 |
| 重要数据传输机密性 | 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; | 应 | 用户口令、身份证号、手机号/电话、系统运行参数和安全策略、重要的业务数据 | SM3、SM2、SM1/SM4 | |
| 重要数据存储机密性 | 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; | 应 | 用户口令、身份证号、手机号/电话、系统运行参数和安全策略、重要的业务数据 | SM3、SM2、SM1/SM4 | |
| 重要数据传输完整性 | 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; | 宜 | 用户口令、身份证号、手机号/电话、系统运行参数和安全策略、重要的业务数据(需讨论)、重要的权限关系(功能菜单权限、人与应用权限、应用与资源权限)、行为日志 | SM3、SM2、SM1/SM4 | |
| 重要数据存储完整性 | 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; | 宜 | 用户口令、身份证号、手机号/电话、系统运行参数和安全策略、重要的业务数据(需讨论)、重要的权限关系(功能菜单权限、人与应用权限、应用与资源权限)、行为日志 | SM3、SM2、SM1/SM4 | |
| 不可否认性 | 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 | 宜 | 用户口令、身份证号、手机号/电话、系统运行参数和安全策略、重要的业务数据、重要的权限关系(功能菜单权限、人与应用权限、应用与资源权限)、行为日志 | SM2 | 可能涉及法律责任认定的应用 |
