@时光机
3年前 提问
1个回答

商用密码应用安全性评估如何规定

一颗小胡椒
3年前

商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位,应当健全密码保障体系,实施商用密码应用安全性评估。

关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。其他信息系统定期开展检查和抽查。

密评主要包括哪些工作内容:

  • 方案评估

    对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估。

  • 系统评估

    依据GM/T0054-2018《信息系统密码应用基本要求》等标准,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。

    测评机构完成系统评估后,出具评估报告。在密评活动结束30个工作日内,将评估结果报密码管理部门等相关部门备案。

对于新建系统在规划阶段,网络运营者(责任单位)应当依据商用密码应用安全性有关标准, 制定商用密码应用建设方案, 组织专家或委托测评机构进行评估,评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。

对于已建系统,网络运营者(责任单位)应委托密评机构开展商用密码应用安全性评估,根据国家密码相关法律法规、政策、标准及整改建议制定密码应用整改(改造)方案,组织专家或委托密评机构对方案进行评审,并根据评审通过整改方案进行整改。