为什么要做密评?
- 开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。
- 《密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
- 《商用密码管理条例》第六章第三十八条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
- 《商用密码应用安全性评估管理办法(试行)》第一章第三条:“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估”。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
密评整体流程?
密评整体流程共包括4个阶段,分别为编写密码应用方案、密码应用方案评估、系统建设/改造、密码应用安全性评估。
- 编写密码应用方案:客户首先自行或委托密评机构按照密评标准对系统进行差距分析,根据差距分析结果结合系统实际情况设计密码应用方案,密码应用方案应包括系统现状及存在的风险、系统涵盖的重要数据、密码应用需求、方案设计以及使用的密码技术、管理制度、应急方案以及实施方案等。
- 密码应用方案评估:密码应用方案编写完成后,可委托密码专家或密评机构对密码应用方案进行评审,若委托密码专家对方案评审则出具专家评审意见,若委托密评机构评审,则出具密码应用方案评估报告。
- 系统建设/改造:密码应用方案通过评审后,系统集成单位按照通过评审的方案对系统进行建设或改造。
- 密码应用安全性评估:系统建设/改造完成后,被测单位委托密评机构对系统进行测评,密评机构按照GB/T 39786标准测评并出具差距分析报告,客户根据差距分析结果进行整改并申请复测,最终出具符合要求的商用密码应用安全性评估报告。
云密评专区的防护功能是否就能满足密评合规需求?
云密评专区可满足密评二级、三级的安全技术合规要求,密评第一级~第四级密码应用基本要求见下表。
- 对于“可”的条款,由信息系统责任单位自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
- 对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评审意见决定是否纳入标准符合性测评范围;若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照测评指标要求进行测评和结果判定。否则,密评人员应根据信息系统的密码应用方案和方案评审意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致,若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照测评指标要求进行测评和结果判定。
- 对于“应”的条款,密评人员应按照测评指标要求进行测评和结果判定;若根据信息系统的密码应用方案和方案评审意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。
