|
1,、什么是商用密碼安全性評估?  商用密碼應(yīng)用安全性評估(簡稱“密評”),是指在采用商用密碼技術(shù),、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,,對其密碼應(yīng)用的合規(guī)性、正確性和有效性進行評估,。 2,、為什么要做密評? 開展密評,是為了解決商用密碼應(yīng)用中存在的突出問題,,為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評價方法,,逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應(yīng)用不廣泛,、不規(guī)范,、不安全的現(xiàn)狀,確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用,,切實構(gòu)建起堅實可靠的網(wǎng)絡(luò)安全密碼屏障,。開展密評,是國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求,,是法定責(zé)任和義務(wù),。 《中華人民共和國密碼法》 第二十七條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)使用商用密碼進行保護,,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估,。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接,,避免重復(fù)評估,、測評。 《商用密碼應(yīng)用安全性評估管理辦法(試行)》 第三條 涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè),、使用,、管理單位(以下簡稱責(zé)任單位)應(yīng)當(dāng)健全密碼保障體系,實施商用密碼應(yīng)用安全性評估,。 重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括:基礎(chǔ)信息網(wǎng)絡(luò),、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng),、面向社會服務(wù)的政務(wù)信息系統(tǒng),,以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng),。 3,、哪些系統(tǒng)需要密評? 《網(wǎng)絡(luò)安全等級保護條例》 第四十七條【非涉密網(wǎng)絡(luò)密碼保護】非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求,使用密碼技術(shù),、產(chǎn)品和服務(wù),。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護,并使用國家密碼管理部門認(rèn)可的密碼技術(shù),、產(chǎn)品和服務(wù),。 主要系統(tǒng)有 基礎(chǔ)信息網(wǎng)絡(luò):電信網(wǎng)、廣播電視網(wǎng),、互聯(lián)網(wǎng),。 重要信息系統(tǒng):能源、教育,、公安,、測繪地理信息、社保,、交通,、衛(wèi)生計生、金融等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng),。 重要工業(yè)控制系統(tǒng):核設(shè)施,、航空航天、先進制造,、石油石化,、油氣管網(wǎng),、電力系統(tǒng),、交通運輸,、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng),。 面向社會服務(wù)的政務(wù)信息系統(tǒng):黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務(wù)的信息系統(tǒng),。 4、參考標(biāo)準(zhǔn)有哪些? 《中華人民共和國密碼法》 《商用密碼應(yīng)用安全性評估管理辦法(試行)》 《信息安全等級保護商用密碼管理辦法》 《信息安全等級保護商用密碼技術(shù)實施要求》 《信息安全等級保護商用密碼技術(shù)要求》 GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》 《信息系統(tǒng)密碼測評要求》 GM/T0054-2018 《信息系統(tǒng)密碼應(yīng)用基本要求》 5,、密評總體要求? 總體要求是所有信息系統(tǒng)都需遵循的基本要求,,包括密碼算法、密碼技術(shù),、密碼產(chǎn)品,、密碼服務(wù)4個層面的相關(guān)要求,具體要求如下: 1,、總體要求 密碼算法:使用的密碼算法應(yīng)當(dāng)符合法律,、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求,,重點關(guān)注密碼算法的合規(guī)性,。 這三個層面分別對信息系統(tǒng)(等級保護1級到4級系統(tǒng))如何使用密碼提出了要求,,要求強度使用應(yīng),、宜,、可三個級別來表示,。 6、不做密評或測試結(jié)果不合格的影響? 《密碼法》第三十七條第一款 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第二十七條第一款規(guī)定,,未按照要求使用商用密碼,,或者未按照要求開展商用密碼應(yīng)用安全性評估的,由密碼管理部門責(zé)令改正,,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,,處十萬元以上一百萬元以下罰款,對直接負責(zé)的主管人員處一萬元以上十萬元以下罰款,。 《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款 對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,,或者存在重大安全隱患的政務(wù)信息系統(tǒng),不安排運行維護經(jīng)費,,項目建設(shè)單位不得新建,、改建、擴建政務(wù)信息系統(tǒng),。 《商用密碼應(yīng)用安全性評估管理辦法(試行)》第二章第十條 關(guān)鍵信息基礎(chǔ)設(shè)施,、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng),每年至少評估一次,。 7,、密評流程主要有哪些? “密評”的實施流程主要包括密碼應(yīng)用方案評估、測評準(zhǔn)備,、方案編制,、現(xiàn)場測評、測評結(jié)論分析,、密碼測評報告編制,。
8、密評單位有哪幾家? 
end |
|
|
