关于密评,这10个问题你⼀定要知道
关于密评,这10个问题你⼀定要知道!
安全互联,从密码开始
当今世界,⽹络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为⽹络空间安全保障和信任机制构建的核⼼技术与基础⽀撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破⼝。
近年来,国内密码应⽤形势并不乐观。⼀是应⽤不⼴泛;⼆是应⽤不规范;三是密码应⽤不安全。
为解决当前密码应⽤存在的突出问题,国家颁布实施了《⽹络安全法》、《密码法》、《⽹络安全审查办法》、《国家政务信息化项⽬建设管理办法》等⼀系列法律法规,对密码应⽤安全性评估提出要求,希望通过密码应⽤安全性评估促进商⽤密码的使⽤和管理规范。
那么,企业在准备商⽤密码应⽤安全性评估(简称“密评”)时,具体需要关注哪些问题,如何才能轻松通过?
Q1:什么是商⽤密码?
商⽤密码是指对不涉及国家秘密内容的信息进⾏加密保护或安全认证所使⽤的密码技术和密码产品。商⽤密码技术是商⽤密码的核⼼,是信息化时代社会团体、组织、企事业单位和个⼈⽤于保护⾃⾝权益的重要⼯具。国家将商⽤密码技术列⼊国家秘密,任何单位和个⼈都有责任和义务保护商⽤密码技术的秘密。
Q2:什么是商⽤密码安全性评估?
商⽤密码应⽤安全性评估(简称“密评”),是指在采⽤商⽤密码技术、产品和服务集成建设的⽹络和信息系统中,对其密码应⽤的合规性、正确性和有效性进⾏评估。
凤整容后最新照片Q3:为什么要做密评?
开展密评,是为了解决商⽤密码应⽤中存在的突出问题,为⽹络和信息系统的安全提供科学评价⽅法,逐步规范商⽤密码的使⽤和管理。从根本上改变商⽤密码应⽤不⼴泛、不规范、不安全的现状,确保商⽤密码在⽹络和信息系统中有效使⽤,切实构建起坚实可靠的⽹络安全密码屏障。
开展密评,是国家⽹络安全和密码相关法律法规提出的明确要求,是法定责任和义务。
《密码法》第⼆⼗七条
法律、⾏政法规和国家有关规定要求使⽤商⽤密码进⾏保护的关键信息基础设施,其运营者应当使⽤商⽤密码进⾏保护,⾃⾏或者委托商⽤密码检测机构开展商⽤密码应⽤安全性评估。
《商⽤密码应⽤安全性评估管理办法(试⾏)》第三条、第⼆⼗条
涉及国家安全和社会公共利益的重要领域⽹络和信息系统的建设、使⽤、管理单位(以下简称责任单位)应当健全密码保障体系,实施商⽤密码应⽤安全性评估。
爱情公寓的演员表重要领域⽹络和信息系统包括:基础信息⽹络、涉及国计民⽣和基础信息资源的重要信息系统、重要⼯业控制 系统、⾯向社会服务的政务信息系统,以及关键信息基础设施、⽹络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他⽹络和信息系统,其责任单位可以参考本办法⾃愿开展商⽤密码应⽤安全性评估。
Q4:谁需要做密评?
基础信息⽹络:
电信⽹、⼴播电视⽹、互联⽹。
重要信息系统:
能源、教育、公安、测绘地理信息、社保、交通、卫⽣计⽣、⾦融等涉及国计民⽣和基础信息资源的重要信息系统。
重要⼯业控制系统:
核设施、航空航天、先进制造、⽯油⽯化、油⽓管⽹、电⼒系统、交通运输、⽔利枢纽、城市设施等重要⼯业控制系统。
⾯向社会服务的政务信息系统:
腹肌锻炼法
党政机关和使⽤财政性资⾦的事业单位和团体组织使⽤的⾯向社会服务的信息系统。
Q5:不做密评或测试结果不合格的影响?
《密码法》第三⼗七条第⼀款许玮伦照片
关键信息基础设施的运营者违反本法第⼆⼗七条第⼀款规定,未按照要求使⽤商⽤密码,或者未按照要求开展商⽤密码应⽤安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害
⽹络安全等后果的,处⼗万元以上⼀百万元以下,对直接负责的主管⼈员处⼀万元以上⼗万元以下。
《国家政务信息化项⽬建设管理办法》第⼆⼗⼋条第三款
对于不符合密码应⽤和⽹络安全要求,或者存在重⼤安全隐患的政务信息系统,不安排运⾏维护经费,项⽬建设单位不得新建、改建、扩建政务信息系统。
《商⽤密码应⽤安全性评估管理办法(试⾏)》第⼆章第⼗条
关键信息基础设施、⽹络安全等级保护第三级及以上信息系统,每年⾄少评估⼀次。
Q6:密评标准是什么?
GM/T0054-2018《信息系统密码应⽤基本要求》
xl《信息系统密码测评要求(试⾏)》
《商⽤密码应⽤安全性评估测评过程指南(试⾏)》
《商⽤密码应⽤安全性评估管理办法(试⾏)》
《商⽤密码应⽤安全性评估作业指导书》
《商⽤密码应⽤安全性评估测评⼯具使⽤需求说明书》
Q7:密评⼯作内容?
⽅案评估
对于新建/改造信息系统,密码应⽤建设⽅案/改造⽅案,⼀般由责任单位组织商⽤密码从业单位编写, 包括:《密码应⽤解决⽅案》、《实施⽅案》和《应急处置⽅案》。责任单位编写密码应⽤建设⽅案/改造⽅案后,应委托测评机构对⽅案进⾏评估。
系统评估
依据GM/T0054-2018《信息系统密码应⽤基本要求》等标准,系统评估主要从物理和环境、⽹络和通信、设备和计算、应⽤和数据、密钥管理、安全管理等⽅⾯开展。
测评机构完成系统评估后,出具评估报告。在密评活动结束30个⼯作⽇内,将评估结果报密码管理部门等相关部门备案。Q8:密评⼯作流程?
Q9:密评如何定级与备案?
密评系统的定级参照等级保护的系统定级。
根据现有规定,责任单位取得报告后,被测单位⾃⾏上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报⾄所在地区公安部门备案。
Q10:密评实施流程与⽅法?
>充电宝充不进电