CASA 分层

概览

CASA 保证层级是根据应用符合 CASA 要求的保证等级来对应用的安全性进行分类。保证等级越高,应用实现所需 CASA 控件的置信度越高。

每个层级都必须满足所有要求,每个层级之间的唯一区别是适用的评估方法。CASA 保证层级提供了一种客观地评估应用安全性的方法。保证等级越高,应用实现 CASA 控制措施的置信度就越高。

层级

层级 名称 估计的实验小时数 说明
3
实验已经过测试 - 实验室已验证 60 在评估期间,授权实验室将测试和验证所有 CASA 要求。这是一项全面的评估,旨在测试应用、应用部署基础架构以及任何用户数据存储位置是否符合所有 CASA 要求(如适用)
2
实验已经过测试 - 实验室已验证 4 第 2 级客服人员通过了一项经过测试和验证的保证级别,可供开发者选择联系其中某个已获授权的实验室来完成第 2 级评估。请参阅下面的评估流程。
开发者已经过测试 - 实验室验证 1 在评估期间,应用开发者使用 CASA 推荐的扫描工具扫描其应用,并将扫描结果提供给 ADA 进行验证。
1
已经过开发者测试 - 开发者已验证 0 自我评估层不是保证等级,因为它未经验证。此层级让开发者能够了解其对 CASA 评估的准备情况

安全保证

层级 应用 部署基础架构 数据存储 验证
第 2 级(开发者已经过测试 - 实验室验证) 开发者测试 开发者证明 开发者证明 经过授权的实验室验证
第 2 级(实验室测试 - 实验室验证) 经过授权的实验室测试 开发者证明 开发者证明 经过授权的实验室验证
第 3 级(实验室测试 - 实验室验证) 经过授权的实验室测试 经过授权的实验室测试 经过授权的实验室测试 经过授权的实验室验证

层级计算

框架用户 (Google.etc) 而非应用开发者计算和确定层级。CASA 推荐以下参数来计算应用所需的保证层级:

  1. 应用访问的数据的敏感度。每种数据类型都可能存在风险权重,以影响层级计算。

  2. 每种类型数据访问的用户数。

  3. 公司风险容忍级别。

  4. 外部和内部风险指标。

重新验证要求

必须每年重新验证所有申请。应用层级可以提高到更高层级。

CASA 重新验证流程