安全資訊

《密碼法》已經(jīng)正式實(shí)施了一年有余，《密碼法》中規定相關(guān)網(wǎng)絡(luò )運營(yíng)者應自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估，開(kāi)展“密評”工作是網(wǎng)絡(luò )運營(yíng)者和信息系統責任單位必須履行的責任，也是維護密碼應用安全的必然選擇。

①什么是商用密碼？

商用密碼是指對不涉及國家秘密內容的信息進(jìn)行加密保護或安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。

②什么是商用密碼安全性評估？

商用密碼應用安全性評估（簡(jiǎn)稱(chēng)“密評”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統中，對其密碼應用的合規性、正確性和有效性進(jìn)行評估。

③誰(shuí)需要做密評？

國家網(wǎng)絡(luò )安全和密碼相關(guān)法律法規明確要求非涉密的關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全保護第三級以上網(wǎng)絡(luò )、國家政務(wù)信息系統等網(wǎng)絡(luò )與信息系統開(kāi)展商用密碼應用安全性評估（簡(jiǎn)稱(chēng)“密評”）工作。

④密評工作內容有哪些？

密評工作包括兩部分重要內容：

1）信息系統規劃階段的密碼應用方案評估。

2）信息系統建設完成后的信息系統商用密碼應用安全性評估。

方案評估：

對于新建/改造信息系統，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業(yè)單位編寫(xiě), 包括：《密碼應用解決方案》、《實(shí)施方案》和《應急處置方案》。責任單位編寫(xiě)密碼應用建設方案/改造方案后，應委托測評機構對方案進(jìn)行評估。

系統評估：

依據GM/T0054-2018《信息系統密碼應用基本要求》等標準，系統評估主要從物理和環(huán)境、網(wǎng)絡(luò )和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開(kāi)展。

⑤密評標準是什么？

GM/T0054-2018《信息系統密碼應用基本要求》

《信息系統密碼測評要求（試行）》

《商用密碼應用安全性評估測評過(guò)程指南（試行）》

《商用密碼應用安全性評估管理辦法（試行）》

《商用密碼應用安全性評估作業(yè)指導書(shū)》

《商用密碼應用安全性評估測評工具使用需求說(shuō)明書(shū)》

⑥密評工作流程？

目前“密評”依據0054開(kāi)展，其基本工作流程可歸納為確定評估對象、開(kāi)展測評工作、輸出密碼測評報告、密評結果上報四個(gè)階段。

⑦密評工作的結論是什么？

密評的結論包括單項測評結論、單元測評結論、風(fēng)險分析結論及最終的評估結論。

單項（單元）測評結論有：符合、部分符合、不符合、不適用；風(fēng)險結論有高、中、低；最終測評結論有：符合、部分符合、不符合。

⑧密評活動(dòng)結束結果上報要求？

網(wǎng)絡(luò )運營(yíng)者完成測評工作后，獲取到“密評”測評報告后需將密評報告、密評結果上報主管部門(mén)及所在地區（部門(mén)）密碼管理部門(mén)備案，測評機構上報國密局備案；等保三級及以上信息系統，評估報告還需由被測單位上報至系統受理備案(即等級保護定級備案)的公安機關(guān)。

⑨不做密評或測試結果不合格的影響？

《密碼法》第三十七條第一款

關(guān)鍵信息基礎設施的運營(yíng)者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或者未按照要求開(kāi)展商用密碼應用安全性評估的，由密碼管理部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

《國家政務(wù)信息化項目建設管理辦法》第二十八條第三款

對于不符合密碼應用和網(wǎng)絡(luò )安全要求，或者存在重大安全隱患的政務(wù)信息系統，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務(wù)信息系統。

⑩密評工作測評周期是多少？

《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規定：關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上信息系統，每年至少評估一次。