创新引领 安全先行


网御星云拥有IPSec/SSL VPN安全网关、超级SIM安全网关、服务器密码机、 签名验签服务器、密钥管理系统、密码服务管理平台等关键密码产品。

MORE +
scroll down

密评及密评建设的定义


“密评”全称是商用密码应用安全性评估,指的是由密评机构对用户单位信息系统密码应用的合规性、正确性和有效性进行检测和评估工作。

“密评建设”,或称为“密评改造”,或称为“密码应用安全建设”,指的是由集成商或代理商对用户单位的信息系统为了有效符合“密评”而进行的项目集成实施或改造工作。

密码应用安全建设依据


密码应用安全建设依据

《中华人民共和国网络安全法》

《中华人民共和国网络密码法》

《国家政务信息化项目建设管理办法》(国办发[2019]57号)

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)

《政务信息系统密码应用与安全性评估工作指南》(中国密码学会密评联委会)

《信息安全技术信息系统密码应用基本要求》(GB-T39786-2021)

《信息系统密码应用高风险判定指引》(中国密码学会密评联委会)

《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会)

商用密码应用安全性评估FAQ(中国密码学会密评联委会)

密码应用安全建设流程


图片名称

◆ 规划阶段

编制商用密码应用方案

组织密码应用方案评估

图片名称

◆ 建设阶段

编制密码应用实施方案

开展项目集成实施建设

密码应用安全性评估

图片名称

◆ 运行阶段

落实密码应用安全管理

定期开展密码应用评估

重大应急事件评估

密码应用安全建设宝典


密码应用安全建设FAQ


哪些信息系统需要开展密评工作? 2011-12-12 12:15:59

《密码法》第二十七条

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《商用密码应用安全性评估管理办法》第六条

法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(简称“重要网络与信息系统”),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。

《商用密码应用安全性评估管理办法》第九条

重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全

密评方案如何通过评审? 2011-12-12 12:15:59
可委托第三方进行密码应用解决方案设计,完成后需经过专家论证或者测评机构评审。
密评报告应向哪些部门和机构备案? 2011-12-12 12:15:59

根据现有规定,取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;

另,等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。

云上应用系统如何进行密码应用测评? 2011-12-12 12:15:59

该类场景的密码应用测评分为两个层面:一是云平台系统为满足自身安全需求所采用的密码技术,二是云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。因此,云上应用系统密评时原则上需要完成两部分测评工作:

针对云平台自身密码应用的测评(即“云平台测评”),该部分测评的责任主体为云平台的运营者。

针对云上应用系统密码应用的测评(即“云上应用测评”),该部分测评的责任主体为云上应用的运营者。

云上应用系统测评与云平台测评的关系 2011-12-12 12:15:59

若云平台通过密评,且安全等级不低于云上应用,则云上应用部分测评对象(如,物理和环境安全)的测评结论可以为“不适用”;

若云平台通过密评,但是其安全级别低于云上应用;则在对云上应用测评时,仍需要对云平台相关的密码应用进行重新测评;

若云平台未通过密评(未开展密评,或密评不合格);则在对云上应用测评时,仍需要对云平台相关的密码应用进行(重新)测评。