商用密码应用安全性评估
《中华人民共和国密码法》《商用密码管理条例(修订草案征求意见稿)》第三十八条明确密码应用安全性评估对象为:
[*]关键信息基础设施
[*]网络安全等级保护第三级及以上网络
[*]国家政务信息系统
《密码法》第二条给出密码定义:密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
《密码法》第八条:商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
《密码法》第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
商用密码管理条例(修订草案征求意见稿)第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。
1、密评内容
2、规划阶段
[*]分析系统现状、明确密码应用需求
[*]按照要求编制密码应用方案
[*]方案密码应用安全性评估
[*]通过评估的密码应用方案
3、建设阶段
[*]按照密码应用方案建设
[*]系统密码应用安全性评估
[*]通过评估的系统
3、运行阶段
定期开展系统密码应用安全性评估 =》通过或者未通过=》 修订密码应用方案(必要时)
4、系统评估过程
被测系统密评如何定级?
现阶段被测系统的密评安全等级参照网络安全等级保护的定级情况。开展密评工作时,对应不同等级的信息系统密码应用要求进行分级评估。
密评与等保测评的区别?
[*]首先,二者的主管部门不同,等保测评归口公安机关监管,密评工作坚持“党管密码”的原则,归口密码管理部门管理;
[*]其次,二者测试内容不重合,通过密评不一定能通过等保,同样通过等保不一定能通过密评;
[*]再者,密码是网络安全的核心技术,开展密评有助于进一步夯实与补充等保测评的结论;同时,责任单位可将密评与等保测评工作同步进行。
密评被测系统是指密码应用子系统吗?
[*]密评并不仅仅是测评密码应用系统,它关注的是被测系统关键业务、重要信息的密码保障情况,它的被测系统与等级保护测评的被测系统是一致的。
《商用密码应用与安全性评估》出版发行
https://www.oscca.gov.cn/sca/xwdt/2020-05/26/content_1060751.shtml
页:
[1]
