密碼測評工作10大基本問題
《密碼法》已經(jīng)正式實(shí)施了一年有余,《密碼法》中規(guī)定相關(guān)網(wǎng)絡(luò)運(yùn)營者應(yīng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估,開展“密評”工作是網(wǎng)絡(luò)運(yùn)營者和信息系統(tǒng)責(zé)任單位必須履行的責(zé)任,也是維護(hù)密碼應(yīng)用安全的必然選擇。
①什么是商用密碼?
商用密碼是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。
②什么是商用密碼安全性評估?
商用密碼應(yīng)用安全性評估(簡稱“密評”),是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。
③誰需要做密評?
國家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)明確要求非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全保護(hù)第三級以上網(wǎng)絡(luò)、國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評估(簡稱“密評”)工作。
④密評工作內(nèi)容有哪些?
密評工作包括兩部分重要內(nèi)容:
1)信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評估。
2)信息系統(tǒng)建設(shè)完成后的信息系統(tǒng)商用密碼應(yīng)用安全性評估。
方案評估:
對于新建/改造信息系統(tǒng),密碼應(yīng)用建設(shè)方案/改造方案,一般由責(zé)任單位組織商用密碼從業(yè)單位編寫, 包括:《密碼應(yīng)用解決方案》、《實(shí)施方案》和《應(yīng)急處置方案》。責(zé)任單位編寫密碼應(yīng)用建設(shè)方案/改造方案后,應(yīng)委托測評機(jī)構(gòu)對方案進(jìn)行評估。
系統(tǒng)評估:
依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn),系統(tǒng)評估主要從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)、密鑰管理、安全管理等方面開展。
⑤密評標(biāo)準(zhǔn)是什么?
GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》
《信息系統(tǒng)密碼測評要求(試行)》
《商用密碼應(yīng)用安全性評估測評過程指南(試行)》
《商用密碼應(yīng)用安全性評估管理辦法(試行)》
《商用密碼應(yīng)用安全性評估作業(yè)指導(dǎo)書》
《商用密碼應(yīng)用安全性評估測評工具使用需求說明書》
⑥密評工作流程?
目前“密評”依據(jù)0054開展,其基本工作流程可歸納為確定評估對象、開展測評工作、輸出密碼測評報(bào)告、密評結(jié)果上報(bào)四個(gè)階段。
⑦密評工作的結(jié)論是什么?
密評的結(jié)論包括單項(xiàng)測評結(jié)論、單元測評結(jié)論、風(fēng)險(xiǎn)分析結(jié)論及最終的評估結(jié)論。
單項(xiàng)(單元)測評結(jié)論有:符合、部分符合、不符合、不適用;風(fēng)險(xiǎn)結(jié)論有高、中、低;最終測評結(jié)論有:符合、部分符合、不符合。
⑧密評活動結(jié)束結(jié)果上報(bào)要求?
網(wǎng)絡(luò)運(yùn)營者完成測評工作后,獲取到“密評”測評報(bào)告后需將密評報(bào)告、密評結(jié)果上報(bào)主管部門及所在地區(qū)(部門)密碼管理部門備案,測評機(jī)構(gòu)上報(bào)國密局備案;等保三級及以上信息系統(tǒng),評估報(bào)告還需由被測單位上報(bào)至系統(tǒng)受理備案(即等級保護(hù)定級備案)的公安機(jī)關(guān)。
⑨不做密評或測試結(jié)果不合格的影響?
《密碼法》第三十七條第一款
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應(yīng)用安全性評估的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款
對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求,或者存在重大安全隱患的政務(wù)信息系統(tǒng),不安排運(yùn)行維護(hù)經(jīng)費(fèi),項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。
⑩密評工作測評周期是多少?
《商用密碼應(yīng)用安全性評估管理辦法(試行)》第二章第十條規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng),每年至少評估一次。