總覽
CASA 保障等級是根據應用程式符合 CASA 要求的保障程度,對應用程式安全進行分類。保障等級越高,表示應用程式落實必要 CASA 控制措施的信心越高。
每個等級都必須符合所有規定,各等級之間的唯一差異在於適用的評估方法。CASA 保障等級可客觀評估應用程式的安全性。保障等級越高,表示應用程式落實 CASA 控制措施的信心就越高。
級別
| 級別 | 名稱 | 預估實驗室時數 | 說明 |
|
3
|
通過實驗室測試 - 實驗室驗證 | 60 | 在評估期間,授權實驗室會測試並驗證所有 CASA 要求。這項全面評估會測試應用程式、應用程式部署基礎架構,以及任何使用者資料儲存位置,確保符合所有 CASA 規定 (如適用)。 |
|
2
|
通過實驗室測試 - 實驗室驗證 | 4 | 第 2 級的保證等級經過實驗室測試和驗證,開發人員可選擇聯絡其中一間授權實驗室,完成第 2 級評估。請參閱下方的評估程序。 |
| 開發人員測試 - 實驗室驗證 | 1 | 在評估期間,應用程式開發人員會使用 CASA 建議的掃描工具掃描應用程式,並將掃描結果提供給 ADA 進行驗證。 | |
|
1
|
開發人員測試 - 開發人員驗證 | 0 | 自我評估等級並非保證等級,因為未經過驗證。這個層級可讓開發人員瞭解應用程式是否已準備好接受 CASA 評估。 |
有保障
| 級別 | 應用程式 | 部署基礎架構 | 資料儲存 | 驗證 |
| 第 2 級 (開發人員測試 - 實驗室驗證) | 開發人員測試 | 開發人員認證 | 開發人員認證 | 授權實驗室認證 |
| 第 2 級 (實驗室測試 - 實驗室驗證) | 通過授權實驗室測試 | 開發人員認證 | 開發人員認證 | 授權實驗室認證 |
| 第 3 級 (實驗室測試 - 實驗室驗證) | 通過授權實驗室測試 | 通過授權實驗室測試 | 通過授權實驗室測試 | 授權實驗室認證 |
等級計算
架構使用者 (Google 等) 會計算並決定層級,而非應用程式開發人員。CASA 建議使用下列參數計算應用程式所需的保障等級:
-
應用程式存取資料的機密程度。系統可能會為每種資料類型指派風險權重,進而影響等級計算結果。
-
存取各類型資料的使用者人數。
-
公司的風險容忍度。
-
外部和內部風險指標。
重新驗證規定
所有申請每年都必須重新驗證。應用程式層級可以升級。
