商用密码安全评估(简称“密评”)是针对采用商用密码技术、产品和服务集成建设的网络和信息系统进行的一项专业评估活动。它旨在确保这些系统中的密码应用符合相关法律法规和标准规范,保证其合规性、正确性和有效性。
什么是商用密码?
商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。它们不同于用于保护国家秘密的核心密码和普通密码。
什么是商用密码安全性评估(密评)?
密评是对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。它确保了信息系统的密码应用符合《密码法》及相关法规的要求。
哪些单位需要开展密评工作?
非涉密的关键信息基础设施,等保三级及以上的信息系统,国家政务等重要信息系统。目前主要集中在电子政务、公安、医疗、教育等行业。
未通过密评会有什么后果?
如果关键信息基础设施的运营方没有按照要求使用商用密码或未按规定开展密评工作,可能会由密码管理部门责令改正,并可能受到警告或罚金处罚。对于不符合要求的政务信息系统,将不安排相应的维护经费,且项目建设单位不得新建、改建或扩建该类系统。
密评工作的依据是什么?
密评工作主要参考两类标准。
基本要求:如国标GB/T 39786《信息安全技术 信息系统密码应用基本要求》。
评估办法:包括测评要求、测评过程、高风险判定指引、量化评估规则等内容。
密评的意义是什么?
密评有助于提升我国网络和信息系统的安全性,确保密码技术被正确有效地应用于各类信息系统中,从而维护国家网络安全和个人信息安全。
商用密码应用安全性评估的主要内容是什么?
密码算法:评估使用的密码算法是否符合国家标准。
密钥管理:评估密钥生成、存储、分发、更新和销毁等过程的安全性。
密码协议:评估密码协议的设计和实现是否安全。
密码产品:评估是否取得商用密码产品认证证书和密码产品自身安全性。
系统集成:评估密码技术在系统中的集成和应用情况。
安全管理:评估密码应用的安全管理制度和措施。
取得密评报告后应如何去管理部门备案?
按照《密码法》确定的属地管理原则,应由运营者所在地的密码管理部门作为备案部门,由省级密码管理部门作为一般备案部门,国家密码管理局作为特殊备案部门。自密评报告出具之日30日内,填写《网络与信息系统密评备案信息表》,并按备案表要求,附上密评合同和密评报告,邮寄到所属地密码管理局。
