什么是密评?密评的依据是什么?
时间:2022-7-5 11:12:45 阅读:1528 来源:太原密评
一、什么是密评?
商用密码应用安全性评估(简称“密评”)是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中, 对其密码应用的合规性、正确性和有效性进行评估的活动。密评是对密码应用安全的评估,立足系统安全、体系安全和动态安全,对包括密码算法、密码协议和密码设备等进行整体安全性评估。
二、密评的依据是什么?
1、2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》,自2020年1月1日起施行。
具体要求:
第25条:商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
第26条:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
第27条:要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
惩罚措施
对于关键基础信息设施未按照要求使用商用密码或开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;
对于拒不改正或者导致危害网络安全等后果的,对单位处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
2、基于2007年国家发改委55号令,修订2019年12月30日印发,2020年2月1日起施行《国家政务信息化项目建设管理办法》
具体要求:
第9条:各部门政务信息化项目,应按规定履行审批程序并向国家发改革委进行备案。备案文件包括密码应用方案和密码应用安全性评估报告。
第15条:政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第16条:政务信息化项目在项目报批阶段,要对产品的安全可靠情况进行说明,包括项目密码应用和安全审查情况。
第25条:政务信息化项目建成后半年内应组织验收,验收报告须有密码应用安全性评估报告。材料验收不合格的,不得通过项目验收。
第28条:对于不符合密码应用要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
第30条:国办、发改委等部门会同有关职能部门,对密码应用情况实施监督管理,视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目。
第30条:各部门应当严格按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
3、《商用密码应用安全性评估管理办法(试行)》
“第三条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码应用安全性评估。重 要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。”
4、《信息系统密码应用测评要求》等5项 密码应用与安全性评估指导性文件
依据《中华人民共和国密码法》等法律法规,中国密码 学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件,现已公开发布,可供相关单位开展商用密码应用与安全性评估工作参考。
信息系统密码应用测评要求
信息系统密码应用测评过程指南
信息系统密码应用高风险判定指引
商用密码应用安全性评估量化评估规则
商用密码应用安全性评估报告模板(2020版)