★ 什么是商用密码应用安全性评估
商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
★ 法律政策
依照《中华人民共和国密码法》第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
根据《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)等有关规定,项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
规划阶段,应当按规定履行审批程序并向国家发展改革委备案,备案文件应当包括密码应用方案和密码应用安全性评估报告;建设阶段,国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上密码应用安全性评估报告等材料;运行阶段,各部门应当严格遵守有关保密等法律法规规定,按要求采用密码技术,并定期开展密码应用安全性评估。
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
★ 密评对象
关键信息基础设施
网络安全等级保护第三级及以上系统
政务信息系统
其他网络信息系统
★ 阶段划分
系统规划阶段:需求分析 → 方案设计 → 对方案进行密码应用安全性评估 → 到所属密码管理部门备案
系统建设阶段:产品选型 → 集成建设 → 对系统进行密码应用安全性评估 → 到所属密码管理部门备案
系统运行阶段:运维管理 → 定期对系统进行密码应用安全性评估 → 到所属密码管理部门备案
★ 密评标准
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
GM/T 0115-2021《信息系统密码应用测评要求》
GM/T 0116-2021《信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
★ 密评流程 、
| 方案评估 | ||
| 准备活动 → | 评估活动 → | 报告编制活动 |
| 收集密码设计方案 | 依据标准评估 | 编制评估报告 |
| 若有问题,反馈修正意见 | ||
| 修正方案,确认修正 |
| 系统测评 | |||
| 测评准备活动 → | 方案编制活动 → | 现场测评活动 → | 分析与报告编制活动 |
| 项目启动 | 测评对象确定 | 现场测评准备 | 单元测评 |
| 信息收集和分析 | 测评指标确定 | 现场测评和结果记录 | 整体测评 |
| 工具和表单准备 | 测评检查点确定 | 结果确认和资料归还 | 量化评估 |
| 测评内容确定 | 风险分析 | ||
| 密评方案编制 | 评估结论形成 | ||
密评报告编制 |
版权所有:中科安永科技有限公司 豫ICP备2022016651号
中科安永