下面是小编帮大家整理的信息技术安全性评估通用准则注意事项,本文共4篇,欢迎阅读,希望大家能够喜欢。
篇1:信息技术安全性评估通用准则注意事项
CC和PP应用过程中的注意事项
1.对资产的定义
在编写PP或ST(Security Target)时,需要对资产和威胁进行定义。那首先如何来定义“资产”呢?在CC 2.3中定义的“资产”是“由TOE安全策略保护的信息或资源”,CC 3.1中定义的“资产”是“评估对象(TOE)所有者赋予了价值的实体”,也就是说只要是TOE所有者赋予了价值的实体都可视为所有者的资产。许多资产均以信息的形式由IT产品存储、处理和传送,以满足信息所有者的要求。信息所有者为了信息的可用性,会严格控制信息的传播和修改,并实施对策以减少对资产的风险。TOE的部署即可视为资产所有者所采取的一种IT对策。通过对IT对策的评估,可以增加所有者对对策的充分性和正确性的信心。从上面的论述我们可以看出,在PP和ST中定义资产时,要考虑的是所有者赋予了价值,并且由TOE来保护的资产,即包括TOE内部资产和的TOE外部资产。
2.CC评估中测试的作用
对产品进行评估是获取安全保障信心的有效途径。CC评估需要论证TOE的安全对策(在某些环境条件的配合下)足以抵抗已标识的所有威胁,并且实现正确,即可以获取对TOE的安全对策的充分性和正确性的信心。
在评估中,安全对策的充分性是通过ST来分析的。ST从描述资产和对这些资产的威胁开始,然后以安全目的的形式描述对策,并证实这些对策对于对抗这些威胁是充分的:如果对策做了声称要做的事情,那么对策足以对抗威胁。
对正确性的评估需要按照ST中描述的安全保障要求审查TOE的各种实现表示文档,并需要对TOE进行实际的测试,包括独立测试与穿透性测试。独立测试是评估者对TOE的安全功能独立进行的验证性测试,通过独立测试可以验证TOE的安全功能能够满足安全功能要求。穿透性测试是评估者基于已标识的脆弱性,来进行威胁建模,从攻击者的角度考虑可能的攻击路径,对TOE进行穿透性测试。通过穿透性测试,可以确认TOE在预期使用环境中不存在可被利用的明显脆弱性。这些过程要求遵循由ISO/IEC 18045(CEM,CC Evaluation Methodology)给出的评估方法(对高保障级别的评估,由于CEM中可能未给出规范方法,评估体制为此应规定具体的方法)。如果所有的安全保障要求都得到了满足,则表明TOE实现正确,这将给用户传达一种信心,即TOE包含可被攻击者利用的脆弱性的可能性不高。
3.对评估保障级的理解
CC的理念是,通过对IT产品进行评估来提供保障。CC对评估结论按保障要求体现的范围、深度和严格性进行级别划分。CC为此预定义了7个保障级,按逐级递增的方式依次为EAL1至EAL7,每一个评估保障级比其它较低的评估保障级表达更多的保障。依据这种划分方法,保障级别要求越高,评估活动付出的努力也越多,由此所能提供的关于TOE安全保障的信心也就越足。但这并不意味着保障级别越高,产品的安全性就越高。
现状及展望
作为信息技术产品安全性评估的基础准则,通用评估准则在我国的应用也越来越广,国内测评机构依据GB/T 18336开展了大量的IT产品的安全评估业务,相关标准得到了广泛应用,依据GB/T 18336衍生出来的国家标准也越来越多,如《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》(GB/T 20276)、《信息安全技术具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4增强级)》(GB/T 22186)、《信息安全技术网络交换机安全技术要求(评估保证级3)》(GB/T 21050)等。同时关于安全办公U盘、数据库管理系统相关的安全标准也正在编写中。
在信安标委的领导下,国内测评机构及相关单位以GB/T 18336为范化标准,结合自身行业安全需求和技术要求,制定出台关键信息技术产品的安全标准,逐步形成信息技术产品安全性评估标准体系,将极大地增强信息技术安全性评估标准具体实施的灵活性和可操作性。这些标准在我国信息系统安全建设中起着非常重要的作用,对于指导相关产品的开发过程和评估过程有着重要意义。
更多热门文章推荐:
1.信息技术安全性评估通用准则解读
2.信息技术安全性评估通用准则注意事项
3.信息技术安全性评估通用准则
4.中国互联网络域名管理最新规定
5.中国军队改革亮点解读
篇2:资产评估准则-评估报告
资产评估准则-评估报告
第一章 总 则
第一条 为规范注册资产评估师编制和出具评估报告行为,维护社会公共利益和资产评估各方当事人合法权益,根据《资产评估准则——基本准则》,制定本准则。
第二条 本准则所称评估报告,是指注册资产评估师根据资产评估准则的要求,在履行必要评估程序后,对评估对象在评估基准日特定目的下的价值发表的、由其所在评估机构出具的书面专业意见。
第三条 注册资产评估师执行资产评估业务,编制和出具评估报告,应当遵守本准则。
第四条 注册资产评估师执行与价值估算相关的其他业务,出具价值分析报告或者其他专业意见,可以参照本准则。
第二章 基本要求
第五条 注册资产评估师应当清晰、准确地陈述评估报告内容,不得使用误导性的表述。
第六条 注册资产评估师应当在评估报告中提供必要信息,使评估报告使用者能够合理理解评估结论。
第七条 注册资产评估师执行资产评估业务,可以根据评估对象的复杂程度、委托方要求,合理确定评估报告的详略程度。
第八条 注册资产评估师执行资产评估业务,评估程序受到限制且无法排除,经与委托方协商后仍需出具评估报告的,应当在评估报告中说明评估程序受限情况及其对评估结论的影响,并明确评估报告的使用限制。
第九条 评估报告应当由两名以上注册资产评估师签字盖章,并由评估机构盖章。有限责任公司制评估机构的法定代表人或者合伙制评估机构负责该评估业务的合伙人应当在评估报告上签字。
根据中评协[]230号第九条修改为:“评估报告应当由两名以上(含两名)注册资产评估师签字盖章,并由评估机构加盖公章。有限责任公司制评估机构的法定代表人或者合伙制评估机构负责该评估业务的合伙人应当在评估报告上签字。
“有限责任公司制评估机构的`法定代表人可以授权首席评估师或者其他持有注册资产评估师证书的副总经理以上管理人员在评估报告上签字。
“有限责任公司制评估机构可以授权分支机构以分支机构名义出具除证券期货相关评估业务外的评估报告,加盖分支机构公章。评估机构的法定代表人可以授权分支机构负责人在以分支机构名义出具的评估报告上签字。”
第十条 评估报告应当使用中文撰写。需要同时出具外文评估报告的,以中文评估报告为准。
评估报告一般以人民币为计量币种,使用其他币种计量的,应当注明该币种与人民币的汇率。
第十一条 评估报告应当明确评估报告的使用有效期。通常,只有当评估基准日与经济行为实现日相距不超过一年时,才可以使用评估报告。
第三章 评估报告的内容
第十二条 评估报告应当包括下列主要内容:
(一)标题及文号;
(二)声明;
(三)摘要;
(四)正文;
(五)附件。
第十三条 评估报告的声明应当包括以下内容:
(一)注册资产评估师恪守独立、客观和公正的原则,遵循有关法律、法规和资产评估准则的规定,并承担相应的责任;
(二)提醒评估报告使用者关注评估报告特别事项说明和使用限制;
(三)其他需要声明的内容。
第十四条 评估报告摘要应当提供评估业务的主要信息及评估结论。
第十五条 评估报告正文应当包括:
(一)委托方、产权持有者和委托方以外的其他评估报告使用者;
(二)评估目的;
(三)评估对象和评估范围;
(四)价值类型及其定义;
(五)评估基准日;
(六)评估依据;
(七)评估方法;
(八)评估程序实施过程和情况;
评估假设;
(十)评估结论;
(十一)特别事项说明;
(十二)评估报告使用限制说明;
(十三)评估报告日;
(十四)注册资产评估师签字盖章、评估机构盖章和法定代表人或者合伙人签字。
根据中评协[2011]230号第十五条第(十四)项修改为:“注册资产评估师签字盖章,评估机构或者经授权的分支机构加盖公章,法定代表人或者其授权代表签字,合伙人签字。”
第十六条 评估报告使用者包括委托方、业务约定书中约定的其他评估报告使用者和国家法律、法规规定的评估报告使用者。
第十七条 评估报告载明的评估目的应当惟一,表述应当明确、清晰。
第十八条 评估报告中应当载明评估对象和评估范围,并具体描述评估对象的基本情况,通常包括法律权属状况、经济状况和物理状况。
第十九条 评估报告应当明确价值类型及其定义,并说明选择价值类型的理由。
第二十条 评估报告应当载明评估基准日,并与业务约定书约定的评估基准日保持一致。评估报告应当说明选取评估基准日时重点考虑的因素。评估基准日可以是现在时点,也可以是过去或者将来的时点。
第二十一条 评估报告应当说明评估遵循的法律依据、准则依据、权属依据及取价依据等。
第二十二条 评估报告应当说明所选用的评估方法及其理由。
第二十三条 评估报告应当说明评估程序实施过程中现场调查、资料收集与分析、评定估算等主要内容。
第二十四条 评估报告应当披露评估假设及其对评估结论的影响。
第二十五条 注册资产评估师应当在评估报告中以文字和数字形式清晰说明评估结论。
通常评估结论应当是确定的数值。经与委托方沟通,评估结论可以使用区间值表达。
第二十六条 评估报告的特别事项说明通常包括下列内容:
(一)产权瑕疵;
(二)未决事项、法律纠纷等不确定因素;
(三)重大期后事项;
(四)在不违背资产评估准则基本要求的情况下,采用的不同于资产评估准则规定的程序和方法。
注册资产评估师应当说明特别事项可能对评估结论产生的影响,并重点提示评估报告使用者予以关注。
第二十七条 评估报告的使用限制说明通常包括下列内容:
(一)评估报告只能用于评估报告载明的评估目的和用途;
(二)评估报告只能由评估报告载明的评估报告使用者使用;
(三)未征得出具评估报告的评估机构同意,评估报告的内容不得被摘抄、引用或披露于公开媒体,法律、法规规定以及相关当事方另有约定的除外;
(四)评估报告的使用有效期;
(五)因评估程序受限造成的评估报告的使用限制。
第二十八条 评估报告载明的评估报告日通常为注册资产评估师形成最终专业意见的日期。
第二十九条 评估报告附件通常包括:
(一)评估对象所涉及的主要权属证明资料;
(二)委托方和相关当事方的承诺函;
(三)评估机构及签字注册资产评估师资质、资格证明文件;
(四)评估对象涉及的资产清单或资产汇总表。
第四章 附 则
第三十条 本准则自7月1日起施行。
(中国资产评估协会关于印发《资产评估准则——评估报告》等7项资产评估准则的通知,中评协[]189号,11月28日)
篇3:资产评估报告准则
第十二条 评估报告应当包括下列主要内容:
(一)标题及文号;
(二)声明;
(三)摘要;
(四)正文;
(五)附件。
第十三条 评估报告的声明应当包括以下内容:
(一)注册资产评估师恪守独立、客观和公正的原则,遵循有关法律、法规和资产评估准则的规定,并承担相应的责任;
(二)提醒评估报告使用者关注评估报告特别事项说明和使用限制;
(三)其他需要声明的内容。
第十四条 评估报告摘要应当提供评估业务的主要信息及评估结论。
第十五条 评估报告正文应当包括:
(一)委托方、产权持有者和委托方以外的其他评估报告使用者;
(二)评估目的;
(三)评估对象和评估范围;
(四)价值类型及其定义;
(五)评估基准日;
(六)评估依据;
(七)评估方法;
(八)评估程序实施过程和情况;
(九)评估假设;
(十)评估结论;
(十一)特别事项说明;
(十二)评估报告使用限制说明;
(十三)评估报告日;
(十四)注册资产评估师签字盖章、评估机构盖章和法定代表人或者合伙人签字。
第十六条 评估报告使用者包括委托方、业务约定书中约定的其他评估报告使用者和国家法律、法规规定的评估报告使用者。
第十七条 评估报告载明的评估目的应当惟一,表述应当明确、清晰。
第十八条 评估报告中应当载明评估对象和评估范围,并具体描述评估对象的基本情况,通常包括法律权属状况、经济状况和物理状况。
第十九条 评估报告应当明确价值类型及其定义,并说明选择价值类型的理由。
第二十条 评估报告应当载明评估基准日,并与业务约定书约定的评估基准日保持一致。
评估报告应当说明选取评估基准日时重点考虑的因素。
评估基准日可以是现在时点,也可以是过去或者将来的时点。
第二十一条 评估报告应当说明评估遵循的法律依据、准则依据、权属依据及取价依据等。
第二十二条 评估报告应当说明所选用的评估方法及其理由。
第二十三条 评估报告应当说明评估程序实施过程中现场调查、资料收集与分析、评定估算等主要内容。
第二十四条 评估报告应当披露评估假设及其对评估结论的影响。
第二十五条 注册资产评估师应当在评估报告中以文字和数字形式清晰说明评估结论。
通常评估结论应当是确定的数值。
经与委托方沟通,评估结论可以使用区间值表达。
第二十六条 评估报告的特别事项说明通常包括下列内容:
(一)产权瑕疵;
(二)未决事项、法律纠纷等不确定因素;
(三)重大期后事项;
(四)在不违背资产评估准则基本要求的情况下,采用的'不同于资产评估准则规定的程序和方法。
注册资产评估师应当说明特别事项可能对评估结论产生的影响,并重点提示评估报告使用者予以关注。
第二十七条 评估报告的使用限制说明通常包括下列内容:
(一)评估报告只能用于评估报告载明的评估目的和用途;
(二)评估报告只能由评估报告载明的评估报告使用者使用;
(三)未征得出具评估报告的评估机构同意,评估报告的内容不得被摘抄、引用或披露于公开媒体,法律、法规规定以及相关当事方另有约定的除外;
(四)评估报告的使用有效期;
(五)因评估程序受限造成的评估报告的使用限制。
第二十八条 评估报告载明的评估报告日通常为注册资产评估师形成最终专业意见的日期。
第二十九条 评估报告附件通常包括:
(一)评估对象所涉及的主要权属证明资料;
(二)委托方和相关当事方的承诺函;
(三)评估机构及签字注册资产评估师资质、资格证明文件;
(四)评估对象涉及的资产清单或资产汇总表。
篇4:资产评估报告准则
第一章总则
第一条 为规范注册资产评估师职业道德行为,提高注册资产评估师职业道德素质,维护注册资产评估师职业形象,制定本准则。
第二条 注册资产评估师执行资产评估业务,应当遵守本准则。
第三条 注册资产评估师执行与价值估算相关的其他业务,可以参照本准则。
第四条 注册资产评估师应当指导业务助理人员和专家遵守本准则。
第二章基本要求
第五条 注册资产评估师应当诚实正直,勤勉尽责,恪守独立、客观、公正的原则。
第六条 注册资产评估师执行资产评估业务,应当遵守相关法律、法规和资产评估准则。
第七条 注册资产评估师应当维护职业形象,不得从事与注册资产评估师身份不符或可能损害职业形象的活动。
第八条 注册资产评估师执行资产评估业务,应当独立进行分析、估算并形成专业意见,不受委托方或相关当事方的影响,不得以预先设定的价值作为评估结论。
第九条 注册资产评估师执行资产评估业务,应当合理使用评估假设,并在评估报告中披露评估假设及其对评估结论的影响。
第十条 注册资产评估师应当在评估报告中提供必要信息,使评估报告使用者能够合理理解评估结论。
注册资产评估师不得出具含有虚假、不实、有偏见或具有误导性的分析或结论的评估报告。
第十一条 注册资产评估师应当遵守保密原则,除法律、法规另有规定外,未经委托方书面许可,不得对外提供执业过程中获知的商业秘密和业务资料。
第十二条 注册资产评估师不得采用欺诈、利诱、强迫等不正当手段招揽业务。
第十三条 注册资产评估师不得利用执业便利为自己或他人谋取不正当利益。
第十四条 注册资产评估师应当在资产评估机构执业,不得以个人名义执业,也不得同时在两家或两家以上评估机构执业。
第十五条 注册资产评估师执行资产评估业务,应当形成能够支持评估结论的工作底稿,并按有关规定管理和保存工作档案。
第十六条 注册资产评估师不得签署本人未参与项目的评估报告,也不得允许他人以本人名义签署评估报告。
第十七条 注册资产评估师应当接受中国资产评估协会的管理,履行中国资产评估协会规定的义务。
第三章专业胜任能力
第十八条 注册资产评估师应当经过专门教育和培训,具备相应的专业知识和经验,能够胜任所执行的评估业务。
第十九条 注册资产评估师应当接受后续教育,保持和提高专业胜任能力。
第二十条 注册资产评估师应当如实声明其具有的专业胜任能力和执业经验,不得对其专业胜任能力和执业经验进行夸张、虚假和误导性宣传。
第二十一条 注册资产评估师执行资产评估业务,可以聘请专家协助工作,但应当采取必要措施确信专家工作的合理性。
第四章与委托方和相关当事方的关系
第二十二条 注册资产评估师与委托方或相关当事方之间存在可能影响注册资产评估师公正执业的利害关系时,应当予以回避。
第二十三条 注册资产评估师执行资产评估业务,不得对委托方和相关当事方进行误导和欺诈。
第二十四条 注册资产评估师应当履行业务约定书中规定的义务,竭诚为委托方服务。
第二十五条 注册资产评估师不得向委托方或相关当事方索取约定服务费之外的不正当利益。
第二十六条 注册资产评估师应当与委托方进行必要沟通,提示评估报告使用者合理理解并恰当使用评估报告,并声明不承担相关当事人决策的`责任。
第五章与其他注册资产评估师的关系
第二十七条 注册资产评估师在执行资产评估业务过程中,应当与其他注册资产评估师保持良好的工作关系。
第二十八条 注册资产评估师不得贬损或诋毁其他注册资产评估师。
第二十九条 注册资产评估师不得以恶意降低服务费等不正当的手段与其他注册资产评估师争揽业务。
第六章附则
★评估报告
文档为doc格式
