一文读懂2022年“密评”那些事儿
神州云腾
密评
2022年,“密评”(即“商用密码应用安全性评估”)成了各行业关注的热词。在《密码法》的要求下,在国标《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的指导下,各地各行业积极、严谨地开展密评工作,关键信息基础设施、政务信息系统、等保三级以上信息系统建设,都要“过密评”。
✦
✦
01
什么是密评
商用密码应用安全性评估(简称“密评”)是指针对采用商用密码技术、产品和服务集成建设的网络和信息系统应用的合规性、正确性、有效性进行评估。
02
遵循的技术标准
中国密码学会密评联委会发布并持续更新依照GB/T 39786-2021开展密评的系列指导文件,目前包括5项:
01 GM/T 0115-2021《信息系统密码应用测评要求》
02 GM/T 0116-2021《信息系统密码应用测评过程指南》
03 《信息系统密码应用高风险判定指引》
04 《商用密码应用安全性评估量化评估规则》
05 《商用密码应用安全性评估报告模板(2021版)》
03
密评的基本要求和程序设计
范围要求:法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统并定期进行密评。
机构性质:密评机构应当经国家密码管理局认定,依法取得商用密码检测机构资质,且资质认定业务范围载明“商用密码应用安全性评估”。
实施要求:包含方案测评、系统测评、运营者支持配合义务、结果备案等。
信息系统密码应用基本要求
04
如何通过密评
需要从实际业务需求出发,根据GB/T 39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,规划密码应用方案,搭建符合密评要求的密码服务平台。
安
恒
信
息
专注于密码领域,聚焦密码功能服务,构建国密整体建设方案;以密码基础设施为依托,搭建密码产品体系;全面满足国家对信息系统的密码建设要求;为各类信息系统提供整体密码建设方案咨询、密码应用规划、实施运维等一体化服务和产品。
产品涵盖密码应用、密码服务平台、密码生态三个层面,广泛服务智慧城市、大数据、政务信息化领域,为政府组织、医疗、金融、互联网等20+行业提供国密完整解决方案。
“