天津光電(國營第七五四廠)
天津光電安辰信息技術股份有限公司

專注信息安全70年
股票代碼:871339

服務熱線:4009999754

商用密碼應用安全性評估

2021-03-10

什么是商用密碼?

  商用密碼是指對不涉及國家秘密內容的信息進行加密保護或安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密,任何單位和個人都有責任和義務保護商用密碼技術的秘密。
  商用密碼應用安全性評估(簡稱“密評”),是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
為什么要做密評?
  開展密評,是為了解決商用密碼應用中存在的突出問題,為網絡和信息系統的安全提供科學評價方法,逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀,確保商用密碼在網絡和信息系統中有效使用,切實構建起堅實可靠的網絡安全密碼屏障。
1. 《密碼法》第二十七條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

2. 第二十一條 重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

3.
第三條規定范圍之外的其他網絡和信息系統,其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。

4.
《商用密碼應用安全性評估管理辦法(試行)》第三條 涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系,實施商用密碼應用安全性評估。

 
誰需要測評?

1. 基礎信息網絡:電信網、廣播電視網、互聯網。
2.
 重要信息系統:能源、教育、公安、測繪地理、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
3.
重要工業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
4. 
政務信息系統:黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。

不做密評或測試結果不合格的影響?

《密碼法》

第三十七條第一款

關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

 

《國家政務信息化項目建設管理辦法》

第二十八條第三款

對于不符合密碼應用和網絡安全要求,或者存在重大安全隱患的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統。

 

《商用密碼應用安全性評估管理辦法(試行)》

第二章第十條

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。

測評標準

 
密評工作內容
1. 方案評估
 對于新建/改造信息系統,密碼應用建設方案/改造方案,一般由責任單位組織商用密碼從業單位編寫, 包括:《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后,應委托測評機構對方案進行評估。

2. 系統評估

依據GM/T0054-2018《信息系統密碼應用基本要求》等標準,系統評估從物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開展。

  測評機構完成系統評估后,出具評估報告。在密評活動結束30個工作日內,將評估結果報密碼管理部門等相關部門備案。


密評工作流程
 

                  


密評如何定級與備案?


密評實施流程與方法?



如有需求可聯系我們:400-9999-754