法律规定
《中华人民共和国密码法》第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
密评的意义
密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性、有效性进行评估的活动。
密评是衡量商用密码应用是否合规、正确、有效的重要手段,也是维护网络空间安全、规范商用密码应用的客观要求,同时也是加强事中和事后监管的方法,是网络信息系统运营者和主管部门必须承担的法律责任。
密评职责
Ø 网络信息系统责任单位
规划阶段依据商密技术标准制定合规的密码应用方案。
系统建设完成后,开展密评,合格后投入运行。
运行期间定期开展密评,不断整改优化。
发生安全事件时,开展密评,进行应急处置和安全方案措施。
完成密评工作后,要在30个工作日内到本地密码管理部门备案。
Ø 测评机构和测评人员
经过国家密码管理部门审核,取得资格,纳入测评机构目录。
按照法律法规和标准要求科学、公正的开展密评。
不泄露测评对象的秘密和数据,不妨碍被测系统正常运行。
完成密评工作后,要在30个工作日内报国家密码管理部门备案。
Ø 密码管理部门
国家密码管理部门指导、监督、检查全国密评工作。
省(部)密码管理部门指导、监督、检查本地区、本部门、本行业的密评工作。
对评估结果的客观、公允和真实性进行评判;对评估工作的客观、规范和独立性进行检查
商用密码应用安全性评估的工作流程
1、测评准备活动
测评准备活动-各环节工作
2、方案编制活动
方案编制活动-各环节工作
3、现场测评活动
现场测评活动-各环节准备工作
4、分析与报告编制活动
分析与报告编制活动-各环节工作