首页 > 产品服务 > 许可证办理 > 密保的测评工作从哪里入手-密保测评和备案

密保的测评工作从哪里入手-密保测评和备案

许可证办理admin2022-10-23 21:09:47A⁺A^-

2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过《密码法》，且该《密码法》自2020年1月1日起正式施行。《密码法》共五章四十四条，对密码进行分类管理，包括核心密码、普通密码和商用密码。其中，核心密码和普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。而商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。换句话说，和企业等级保护最有关的，就是商用密码。此前，我国已经出台了《信息安全等级保护商用密码技术要求》以及其他一系列文件，用于明确等级保护中对商用密码的要求和测评指引。企业等级保护密码测评要注意哪些内容？这篇文章告诉你。

首先，等级保护中的密码应该满足以下几点：

1.真实性

应在通信前基于密码技术对通信的双方进行验证或认证；（关于密保的测评和备案联系木准科技经理电话：18300003210）

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

2.保密性

应采用密码技术保证通信过程中数据的保密性。

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

3.完整性

应采用校验技术或密码技术保证通信过程中数据的完整性；

应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

4.不可否认性

在可能涉及法律责任认定的应用中，应采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。

5.密码管理要求

应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；

应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容；

密码管理应遵循密码相关国家标准和行业标准；

密码管理应使用国家密码管理主管部门认证核准的密码技术和产品。

6.利用密码技术可以有效解决的问题

①可信验证：

可基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知；

应采用可信验证机制对接入到网络中的设备进行可信验证，保证接入网络的设备真实可信；

②远程管理：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

③集中管理：应能够建立一条安全的信息传输路径，对网络中的安全设备或者安全组件进行管理。

其次，企业要如何判定自己是否需要做等级保护商用密码应用安全性评估，以及如何做评估呢？

1.以下这些单位要进行等级保护商用密码应用安全性评估

根据《密码法》第二十七条，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

根据《商用密码应用安全性评估管理办法（试行）》第三条、第二十条，涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

其他网络和信息系统的责任单位可以参考本办法自愿开展商用密码应用安全性评估。

2.等级保护商用密码应用安全性评估怎么做？

目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》，其他新建和改造方案要求和指导文件正在制定中。

如果刚接触商密并不熟，可委托第三方进行方案设计，方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。

3.不做商用密码应用安全性评估或测评结果不合格有什么影响？

《密码法》第三十七条第一款规定：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款规定：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法（试行）》第二章第十条规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

4.信息系统商用密码应用安全性评估如何定级备案？

目前密评系统的定级参照等级保护的系统定级。实施流程主要包括：前期准备，主要是责任单位信息收集和系统自查，具体时间要根据被测单位准备进度来定；现场测评，测评方案由测评机构根据信息采集表内容在入场前制定完成，测评方案将于前期准备同步进行。

备案方面，根据现有规定，责任单位取得报告后，被测单位自行上报主管部门及所在地区（部门）密码管理部门备案，测评机构上报国密局备案；等保三级及以上信息系统，评估报告还需由被测单位上报至所在地区公安部门备案。

点击这里复制本文地址以上内容由木准科技整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！