總覽
CASA 保證等級是一種根據應用程式符合 CASA 規定的保證等級,將應用程式安全性分類。保證級別越高,應用程式成功導入必要的 CASA 控制項的信心就越高。
每個層級都必須符合所有要求,每個級別的唯一差別是適用的評估方法。CASA 保證級別可讓您以客觀的方式評估應用程式的安全性。保證層級越高,應用程式實作 CASA 控制項的信心越高。
層級
級別 | 名稱 | 預測的研究室時數 | 說明 |
3
|
研究室測試 - 已驗證實驗室 | 60 | 評估期間,授權研究室會測試並驗證所有 CASA 要求。這項全方位的評估作業會測試應用程式、應用程式部署基礎架構,以及任何使用者資料儲存位置,以符合所有 CASA 要求 (如適用) |
2
|
研究室測試 - 已驗證實驗室 | 4 | 第 2 層服務專員已檢驗並驗證過這個保證等級,且開發人員可以選擇與其中一個授權研究室聯絡,以便完成第 2 層評估。請參閱以下評估流程。 |
開發人員測試 - 已驗證實驗室 | 1 | 評估期間,應用程式開發人員會使用 CASA 建議的掃描工具掃描應用程式,並將掃描結果提供給 ADA 進行驗證。 | |
1
|
開發人員測試 - 開發人員已驗證 | 0 | 自我評估級別並未通過驗證,因此不是保證等級。這個級別可讓開發人員瞭解應用程式對 CASA 評估的準備程度 |
有保障
級別 | 應用程式 | 部署基礎架構 | 資料儲存 | 驗證 |
第 2 級 (已完成開發人員測試 - 實驗室驗證) | 開發人員測試 | 開發人員認證 | 開發人員認證 | 已獲授權實驗室 |
第 2 級 (已進行實驗室測試 - 實驗室驗證) | 經授權的實驗室測試 | 開發人員認證 | 開發人員認證 | 已獲授權實驗室 |
第 3 級 (已進行實驗室測試 - 實驗室驗證) | 經授權的實驗室測試 | 經授權的實驗室測試 | 經授權的實驗室測試 | 已獲授權實驗室 |
階層計算方式
架構使用者 (Google..etc) 而非應用程式開發人員計算及決定級別。CASA 建議採用下列參數來計算所需的應用程式保證層級:
-
應用程式存取的資料機密性。每種資料類型可能會有一個風險權重,進而影響層級計算方式。
-
各資料類型存取的使用者人數。
-
公司的風險容忍度。
-
外部和內部風險指標。
重新驗證規定
所有應用程式都必須每年重新驗證。應用程式層級可增加到更高的層級。