密评及密评建设的定义
“密评”全称是商用密码应用安全性评估,指的是由密评机构对用户单位信息系统密码应用的合规性、正确性和有效性进行检测和评估工作。
“密评建设”,或称为“密评改造”,或称为“密码应用安全建设”,指的是由集成商或代理商对用户单位的信息系统为了有效符合“密评”而进行的项目集成实施或改造工作。
开展密评工作的必要性
密码应用安全建设依据
《中华人民共和国网络安全法》
《中华人民共和国网络密码法》
《国家政务信息化项目建设管理办法》(国办发[2019]57号)
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)
《政务信息系统密码应用与安全性评估工作指南》(中国密码学会密评联委会)
《信息安全技术信息系统密码应用基本要求》(GB-T39786-2021)
《信息系统密码应用高风险判定指引》(中国密码学会密评联委会)
《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会)
商用密码应用安全性评估FAQ(中国密码学会密评联委会)
密码应用安全建设流程
密码应用安全建设宝典
-
密评建设与业务需求
密评建设与业务需求02密评建设与业务需求
Company密评建设项目与等级保护建设有所不同。在等级保护建设中,用户方采购的下一代防火墙......
-
密码应用安全咨询评估
密码应用安全咨询评估01密码应用安全咨询评估
Company对于密评建设项目而言,前期最重要的内容就是进行现场调研、访谈和文档查阅等咨询评估工作......
-
应用系统开发改造
应用系统开发改造03应用系统开发改造
Company密评建设项目要做到安全、合规,无论是已有信息系统,还是新建信息系统,都必须与服务器密码机......
-
避免触碰红线,做到安全合规
避免触碰红线,做到安全合规04避免触碰红线,做到安全合规
Process Flow《信息系统密码应用高风险判定指引》是由中国密码学会密评联委会发布的指导文件,是密评工作中的重要参考基线......
密码应用安全建设FAQ
《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法》第六条
法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(简称“重要网络与信息系统”),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法》第九条
重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全
根据现有规定,取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;
另,等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
该类场景的密码应用测评分为两个层面:一是云平台系统为满足自身安全需求所采用的密码技术,二是云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。因此,云上应用系统密评时原则上需要完成两部分测评工作:
针对云平台自身密码应用的测评(即“云平台测评”),该部分测评的责任主体为云平台的运营者。
针对云上应用系统密码应用的测评(即“云上应用测评”),该部分测评的责任主体为云上应用的运营者。
若云平台通过密评,且安全等级不低于云上应用,则云上应用部分测评对象(如,物理和环境安全)的测评结论可以为“不适用”;
若云平台通过密评,但是其安全级别低于云上应用;则在对云上应用测评时,仍需要对云平台相关的密码应用进行重新测评;
若云平台未通过密评(未开展密评,或密评不合格);则在对云上应用测评时,仍需要对云平台相关的密码应用进行(重新)测评。