等保测评与商密评估的测评层面区别

技术要求

1、安全物理环境：

物理位置的选择应充分考虑安全因素，如防水、防火、防雷击等。

机房和办公场地等区域应有适当的门禁控制措施。

关键设备应有防盗措施，并定期进行维护保养。

2、安全通信网络：

网络架构应合理划分安全区域，并采取必要的安全隔离措施。

通信线路应有冗余备份，以确保网络连接的可靠性。

应采用加密技术保护网络通信数据的机密性和完整性。

3、安全区域边界：

应在区域边界设置访问控制机制，如防火墙、入侵检测系统等。

应采取必要的措施防止恶意代码的传播和感染。

应定期进行安全审计和漏洞扫描，以发现并及时修复潜在的安全问题。

4、安全计算环境：

应对操作系统、数据库等系统软件进行安全配置和加固。

应采取适当的措施保护用户数据和敏感信息的机密性和完整性。

应对应用程序进行安全测试和审查，确保其不包含恶意代码或漏洞。

5、安全管理中心：

应建立集中的安全管理平台，对网络安全事件进行监控、分析和响应。

应定期对网络安全状况进行评估和报告，以便及时发现并改进潜在的安全问题。

管理要求

6、安全管理制度：

应制定完善的网络安全管理制度和操作规程，明确各级人员的安全职责和权限。

应定期对网络安全管理制度进行审查和更新，以确保其适应当前的安全环境和业务需求。

7、安全管理机构：

应设立专门的网络安全管理机构或岗位，负责网络安全工作的规划和实施。

应加强与相关部门的协作和沟通，共同应对网络安全挑战。

8、安全管理人员：

应定期对网络安全管理人员进行培训和考核，提高其专业技能和安全管理水平。

应为网络安全管理人员提供必要的资源和支持，以确保其能够有效地履行职责。

9、安全建设管理：

应在信息系统建设初期就考虑网络安全问题，并采取相应的安全措施进行防护。

应对信息系统进行定期的安全评估和漏洞扫描，以发现并修复潜在的安全问题。

10、安全运维管理：

应建立完善的安全运维流程，确保信息系统的稳定运行和数据的安全。

应对运维过程进行监控、维护和应急响应，以应对可能的安全事件。

商密评估，即商用密码应用安全性评估，主要关注信息系统中密码应用的安全性。旨在确保信息系统中密码应用的安全性、合规性和有效性。依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，商密评估从8个层面，涵盖了技术层面和管理层面的多个方面。

技术层面

1、物理和环境安全：

确保密码设备所在的物理环境安全，包括机房设施、防雷击、防火、防潮、防尘、防电磁泄漏等方面的要求。

物理访问控制，防止未经授权的访问和操作。

2、网络和通信安全：

确保网络架构的安全性，包括网络设备的配置、网络安全策略、网络访问控制等。

通信过程中的数据加密和完整性保护，防止数据泄露和篡改。

3、设备和计算安全：

密码设备的身份鉴别和远程管理通道安全。

系统资源访问控制信息的完整性保护。

重要可执行程序的完整性和来源真实性验证。

4、应用和数据安全：

应用程序中的身份鉴别和访问控制。

重要数据传输和存储的机密性和完整性保护。

数据的不可否认性，确保用户无法否认对数据的操作。

管理层面

5、管理制度：

制定和完善密码应用安全管理制度，包括密钥管理规则、操作规程等。

定期修订安全管理制度，确保其适应性和有效性。

6、人员管理：

了解并遵守密码相关法律法规和密码管理制度。

建立密码应用岗位责任制度，明确岗位职责和权限。

定期进行安全岗位人员考核，确保人员具备必要的安全知识和技能。

7、建设运行：

制定密码应用方案和实施方案，明确密码应用的目标、范围和措施。

投入运行前进行密码应用安全性评估，确保方案的有效性和安全性。

定期开展密码应用安全性评估和攻防对抗演习，及时发现和修复安全漏洞。

8、应急处置：

制定应急策略，明确在密码应用发生安全问题时的应对措施和流程。

及时进行事件处置，防止安全事件扩大和蔓延。

向有关主管部门上报处置情况，确保信息的及时传递和沟通。