信息化觀察網(wǎng)

當今世界，網(wǎng)絡空間正在加速演變?yōu)楦鲊鵂幭鄵寠Z的新疆域、戰(zhàn)略威懾與控制的新領域、國家安全的新戰(zhàn)場。密碼作為網(wǎng)絡空間安全保障和信任機制構(gòu)建的核心技術(shù)與基礎支撐，是國家安全的重要戰(zhàn)略資源，也是國家實現(xiàn)安全可控信息技術(shù)體系彎道超車的重要突破口。

近年來，國內(nèi)密碼應用形勢并不樂觀。一是應用不廣泛；二是應用不規(guī)范；三是密碼應用不安全。

為解決當前密碼應用存在的突出問題，國家頒布實施了《網(wǎng)絡安全法》、《密碼法》、《網(wǎng)絡安全審查辦法》、《國家政務信息化項目建設管理辦法》等一系列法律法規(guī)，對密碼應用安全性評估提出要求，希望通過密碼應用安全性評估促進商用密碼的使用和管理規(guī)范。

那么，企業(yè)在準備商用密碼應用安全性評估（簡稱“密評”）時，具體需要關(guān)注哪些問題，如何才能輕松通過？

Q1：什么是商用密碼？

商用密碼是指對不涉及國家秘密內(nèi)容的信息進行加密保護或安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)是商用密碼的核心，是信息化時代社會團體、組織、企事業(yè)單位和個人用于保護自身權(quán)益的重要工具。國家將商用密碼技術(shù)列入國家秘密，任何單位和個人都有責任和義務保護商用密碼技術(shù)的秘密。

Q2：什么是商用密碼安全性評估？

商用密碼應用安全性評估（簡稱“密評”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中，對其密碼應用的合規(guī)性、正確性和有效性進行評估。

Q3：為什么要做密評？

開展密評，是為了解決商用密碼應用中存在的突出問題，為網(wǎng)絡和信息系統(tǒng)的安全提供科學評價方法，逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡和信息系統(tǒng)中有效使用，切實構(gòu)建起堅實可靠的網(wǎng)絡安全密碼屏障。

開展密評，是國家網(wǎng)絡安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責任和義務。

《密碼法》第二十七條

法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。

《商用密碼應用安全性評估管理辦法（試行）》第三條、第二十條

涉及國家安全和社會公共利益的重要領域網(wǎng)絡和信息系統(tǒng)的建設、使用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商用密碼應用安全性評估。

重要領域網(wǎng)絡和信息系統(tǒng)包括：基礎信息網(wǎng)絡、涉及國計民生和基礎信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務的政務信息系統(tǒng)，以及關(guān)鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)。

第三條規(guī)定范圍之外的其他網(wǎng)絡和信息系統(tǒng)，其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。

Q4：誰需要做密評？

基礎信息網(wǎng)絡：

電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統(tǒng)：

能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計生、金融等涉及國計民生和基礎信息資源的重要信息系統(tǒng)。

重要工業(yè)控制系統(tǒng)：

核設施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要工業(yè)控制系統(tǒng)。

面向社會服務的政務信息系統(tǒng)：

黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務的信息系統(tǒng)。

Q5：不做密評或測試結(jié)果不合格的影響？

《密碼法》第三十七條第一款

關(guān)鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款

對于不符合密碼應用和網(wǎng)絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)。

《商用密碼應用安全性評估管理辦法（試行）》第二章第十條

關(guān)鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

Q6：密評標準是什么？

GM/T0054-2018《信息系統(tǒng)密碼應用基本要求》

《信息系統(tǒng)密碼測評要求（試行）》

《商用密碼應用安全性評估測評過程指南（試行）》

《商用密碼應用安全性評估管理辦法（試行）》

《商用密碼應用安全性評估作業(yè)指導書》

《商用密碼應用安全性評估測評工具使用需求說明書》

Q7：密評工作內(nèi)容？

方案評估

對于新建/改造信息系統(tǒng)，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業(yè)單位編寫,包括：《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后，應委托測評機構(gòu)對方案進行評估。

系統(tǒng)評估

依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應用基本要求》等標準，系統(tǒng)評估主要從物理和環(huán)境、網(wǎng)絡和通信、設備和計算、應用和數(shù)據(jù)、密鑰管理、安全管理等方面開展。

測評機構(gòu)完成系統(tǒng)評估后，出具評估報告。在密評活動結(jié)束30個工作日內(nèi)，將評估結(jié)果報密碼管理部門等相關(guān)部門備案。

Q8：密評工作流程？

Q9：密評如何定級與備案？

密評系統(tǒng)的定級參照等級保護的系統(tǒng)定級。

根據(jù)現(xiàn)有規(guī)定，責任單位取得報告后，被測單位自行上報主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機構(gòu)上報國密局備案；

等保三級及以上信息系統(tǒng)，評估報告還需由被測單位上報至所在地區(qū)公安部門備案。

Q10：密評實施流程與方法？