根據《國家政務信息化項目建設管理辦法》《商用密碼應用安全性評估管理辦法(試行)》等相關要求,政務信息系統在規劃、建設和運行階段均須開展商用密碼應用安全性評估(以下簡稱“密評”)。
01 什么是密評?
密評全稱商用密碼應用安全性評估,是指在采用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。商用密碼是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。
02 為什么要做密評?
一是國家法律法規的要求。開展密評,是國家相關法律法規提出的明確要求,是網絡安全運營者的法定責任和義務。《中華人民共和國密碼法》第27條:法律、行政法規和國家有關規定要求使用密碼進行保護的關鍵信息基礎設施,其運營者應當使用密碼進行保護,自行或者委托密碼檢測機構開展密碼應用安全性評估。《商用密碼應用安全性評估管理辦法(試行)》第10條:關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。《網絡安全等級保護條例(征求意見稿)》第47條:第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。因此,及時開展密評,是廣大網絡安全運營者落實法律法規要求,履行網絡安全義務的一項重要責任。
二是應對網絡安全形勢的需求。通過密評可以及時發現密碼應用過程中存在的問題,為網絡和信息安全提供科學的評價方法,逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀,確保密碼在網絡和信息系統中得到有效應用,切實構建起堅實可靠的網絡安全密碼保障。三是系統安全維護的必然要求。密碼應用是否合規、正確、有效,涉及密碼算法、協議、產品、技術體系、密鑰管理、密碼應用多個方面。因此,需委托專業機構、人員,采用專業工具和手段,對系統整體的密碼應用安全進行專項測試和綜合評估,形成科學準確的評估結果,以便及時掌握密碼安全現狀,采取必要的技術和管理措施。
03怎么做密評?
(一)密評工作標準
商用密碼應用安全性評估工作主要遵循 GM/T0054-2018《信息系統密碼應用基本要求》《信息系統密碼測評要求(試行)》《商用密碼應用安全性評估測評過程指南(試行)》《商用密碼應用安全性評估管理辦法(試行)》《商用密碼應用安全性評估作業指導書》《商用密碼應用安全性評估測評工具使用需求說明書》等要求開展。
注:新標準GB/T 39786—2021《信息安全技術信息系統密碼應用基本要求》將于2021年10月1日正式實施。
(二)密評工作內容
密評工作內容主要包括方案評估和系統評估。對于新建/改造信息系統,密碼應用建設方案/改造方案包括:《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后,應委托測評機構對方案進行評估。系統評估主要是依據GM/T0054-2018《信息系統密碼應用基本要求》等標準,從總體要求、功能要求、技術要求(物理、網絡、設備、數據)、密鑰管理、安全管理等方面開展。
(三)密評工作流程密評工作流程
主要包括四個步驟:一是測評準備,包括項目啟動、信息收集分析、測評工具和表單準備;二是方案編制,包括測評對象確定、測評指標確定、測評檢查點確定、測評內容確定、測評方案編制;三是現場測評,包括現場測評準備、結果記錄、結果確認和資料歸還;四是分析與報告編制,包括單項測評結果判定、單元測評結果判定、整體測評、風險分析、測評結論形成、測評結果發布。最后,根據現有規定,責任單位取得報告后,被測單位自行上報主管部門及所在地區(部門)密碼管理部門備案,測評機構上報國密局備案;等保三級及以上信息系統,評估報告還需由被測單位上報至所在地區公安部門備案。
|
