《密码法》已经正式实施了一年有余,《密码法》中规定相关网络运营者应自行或者委托商用密码检测机构开展商用密码应用安全性评估,开展“密评”工作是网络运营者和信息系统责任单位必须履行的责任,也是维护密码应用安全的必然选择。
①什么是商用密码?
商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。
②什么是商用密码安全性评估?
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
③谁需要做密评?
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估(简称“密评”)工作。
④密评工作内容有哪些?
密评工作包括两部分重要内容:
1)信息系统规划阶段的密码应用方案评估。
2)信息系统建设完成后的信息系统商用密码应用安全性评估。
方案评估:
对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估。
系统评估:
依据GM/T0054-2018《信息系统密码应用基本要求》等标准,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
⑤密评标准是什么?
GM/T0054-2018《信息系统密码应用基本要求》
《信息系统密码测评要求(试行)》
《商用密码应用安全性评估测评过程指南(试行)》
《商用密码应用安全性评估管理办法(试行)》
《商用密码应用安全性评估作业指导书》
《商用密码应用安全性评估测评工具使用需求说明书》
⑥密评工作流程?
目前“密评”依据0054开展,其基本工作流程可归纳为确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。
⑦密评工作的结论是什么?
密评的结论包括单项测评结论、单元测评结论、风险分析结论及最终的评估结论。
单项(单元)测评结论有:符合、部分符合、不符合、不适用;风险结论有高、中、低;最终测评结论有:符合、部分符合、不符合。
⑧密评活动结束结果上报要求?
网络运营者完成测评工作后,获取到“密评”测评报告后需将密评报告、密评结果上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报至系统受理备案(即等级保护定级备案)的公安机关。
⑨不做密评或测试结果不合格的影响?
《密码法》第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
⑩密评工作测评周期是多少?
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。