《密码法》(征求意见稿)要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。
根据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法(试行)》等相关要求,政务信息系统在规划阶段、建设阶段和运行阶段均须开展商用密码应用安全性评估(以下简称“密评”)。
项目建设单位在项目各阶段如何开展密评?具体包含哪些工作?密评机构工信部电子五所,以广东省相关密评项目经验为例,从“项目建设单位”的角度出发,对政务信息系统密评全过程进行详细梳理,并总结了密评工作中的注意事项,为项目建设单位开展密评工作提供相应参考。
01 开始立项
项目建设单位开始筹备立项材料。
02 编制密码应用方案
项目建设单位(如广东省XX厅)组织相关单位编制密码应用方案,建议选择有密码方案编制经验的单位。
密码应用方案设计内容须与立项方案建设内容保持一致,确保后期建设可落地。
立项方案中需预留密码应用建设与密评经费,否则建设阶段工作无法开展。
03 委托密评机构开展方案评估
密码应用方案编制完成后,项目建设单位应委托密评机构(如工信部电子五所)开展方案评估。
通常情况方案将进行多轮评估修改,整个方案评估周期一般为2—4周,具体时间主要取决于方案编制质量与修改情况。
方案经过多轮修改通过评估后,密评机构将出具《密码应用方案评估报告》。
04 报密码管理部门审核
项目建设单位将通过评估的密码应用方案与密评机构出具的《密码应用方案评估报告》报送至密码管理部门(如广东省密码管理局)审核。
05提交立项申报
项目获得批复后,进入项目建设阶段。
01 项目开始建设
项目建设单位需严格按照立项时通过评估的《密码应用方案》进行相应建设,否则项目验收时将无法通过系统评估。
02 委托密评机构开展系统评估
单次评估周期一般在1个月内
若首次评估未通过,则密评机构将出具《整改建议》,项目建设单位需对系统进行相应整改
评估通过后,密评机构将出具《密码应用安全性评估报告》
03 报密码管理部门审核
项目建设单位将通过评估的密码应用方案与密评机构出具的系统《密码应用安全性评估报告》报送至密码管理部门审核。
04 组织验收
项目验收通过后,进入项目运行阶段。
需定期开展密评,提前预留系统密评经费。
系统发生密码相关重大安全事件、重大调整或特殊情况时需及时组织评估。
注:
本文密评流程梳理参考广东省以下政策文件,其他省份密评流程以当地政策为准:
《广东省省级政务信息化项目管理办法》
《广东省省级政务信息化项目商用密码应用工作指引》
《广东省省级政务信息化服务项目立项审批细则》
《广东省省级政务信息化服务项目验收前符合性审查细则》
