密码测评 过程中应该注意的10个问题,您知道几个?

  • A+
所属分类:安全新闻

请点击上面 密码测评 过程中应该注意的10个问题,您知道几个? 一键关注!

内容来源:信息安全国家工程研究中心

密码测评 过程中应该注意的10个问题,您知道几个?


当今世界,网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。


近年来,国内密码应用形势并不乐观。一是应用不广泛;二是应用不规范;三是密码应用不安全。


为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。


那么,企业在准备商用密码应用安全性评估(简称“密评”)时,具体需要关注哪些问题,如何才能轻松通过?


密码测评 过程中应该注意的10个问题,您知道几个?


Q1:什么是商用密码?

商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。


Q2:什么是商用密码安全性评估?

商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。


Q3:为什么要做密评?

开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。

开展密评,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。

《密码法》第二十七条

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。


《商用密码应用安全性评估管理办法(试行)》第三条、第二十条

涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。


重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。

密码测评 过程中应该注意的10个问题,您知道几个?


Q4:谁需要做密评?

基础信息网络:

电信网、广播电视网、互联网。


重要信息系统:

能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。


重要工业控制系统:

核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

面向社会服务的政务信息系统:

党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。


Q5:不做密评或测试结果不合格的影响?

《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法(试行)》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。


Q6:密评标准是什么?

GM/T0054-2018《信息系统密码应用基本要求》

《信息系统密码测评要求(试行)》

《商用密码应用安全性评估测评过程指南(试行)》

《商用密码应用安全性评估管理办法(试行)》

《商用密码应用安全性评估作业指导书》

《商用密码应用安全性评估测评工具使用需求说明书》

密码测评 过程中应该注意的10个问题,您知道几个?


Q7:密评工作内容?

方案评估

对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估。

系统评估

依据GM/T0054-2018《信息系统密码应用基本要求》等标准,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。

测评机构完成系统评估后,出具评估报告。在密评活动结束30个工作日内,将评估结果报密码管理部门等相关部门备案。


Q8:密评工作流程?

密码测评 过程中应该注意的10个问题,您知道几个?
密码测评 过程中应该注意的10个问题,您知道几个?


Q9:密评如何定级与备案?

密评系统的定级参照等级保护的系统定级。

根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;

等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。


Q10:密评实施流程与方法?

密码测评 过程中应该注意的10个问题,您知道几个?

密码测评 过程中应该注意的10个问题,您知道几个?

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

密码测评 过程中应该注意的10个问题,您知道几个?

朋友都在看

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

天億网络安全

【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】

密码测评 过程中应该注意的10个问题,您知道几个?

↑↑↑长按图片识别二维码关註↑↑↑


欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

本文始发于微信公众号(天億网络安全):密码测评 过程中应该注意的10个问题,您知道几个?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: