信息化觀察網(wǎng)

當(dāng)今世界，網(wǎng)絡(luò)空間正在加速演變?yōu)楦鲊?guó)爭(zhēng)相搶奪的新疆域、戰(zhàn)略威懾與控制的新領(lǐng)域、國(guó)家安全的新戰(zhàn)場(chǎng)。密碼作為網(wǎng)絡(luò)空間安全保障和信任機(jī)制構(gòu)建的核心技術(shù)與基礎(chǔ)支撐，是國(guó)家安全的重要戰(zhàn)略資源，也是國(guó)家實(shí)現(xiàn)安全可控信息技術(shù)體系彎道超車的重要突破口。

近年來(lái)，國(guó)內(nèi)密碼應(yīng)用形勢(shì)并不樂觀。一是應(yīng)用不廣泛；二是應(yīng)用不規(guī)范；三是密碼應(yīng)用不安全。

為解決當(dāng)前密碼應(yīng)用存在的突出問題，國(guó)家頒布實(shí)施了《網(wǎng)絡(luò)安全法》、《密碼法》、《網(wǎng)絡(luò)安全審查辦法》、《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》等一系列法律法規(guī)，對(duì)密碼應(yīng)用安全性評(píng)估提出要求，希望通過(guò)密碼應(yīng)用安全性評(píng)估促進(jìn)商用密碼的使用和管理規(guī)范。

那么，企業(yè)在準(zhǔn)備商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”）時(shí)，具體需要關(guān)注哪些問題，如何才能輕松通過(guò)？

Q1：什么是商用密碼？

商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)是商用密碼的核心，是信息化時(shí)代社會(huì)團(tuán)體、組織、企事業(yè)單位和個(gè)人用于保護(hù)自身權(quán)益的重要工具。國(guó)家將商用密碼技術(shù)列入國(guó)家秘密，任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。

Q2：什么是商用密碼安全性評(píng)估？

商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。

Q3：為什么要做密評(píng)？

開展密評(píng)，是為了解決商用密碼應(yīng)用中存在的突出問題，為網(wǎng)絡(luò)和信息系統(tǒng)的安全提供科學(xué)評(píng)價(jià)方法，逐步規(guī)范商用密碼的使用和管理。從根本上改變商用密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保商用密碼在網(wǎng)絡(luò)和信息系統(tǒng)中有效使用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼屏障。

開展密評(píng)，是國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是法定責(zé)任和義務(wù)。

《密碼法》第二十七條

法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第三條、第二十條

涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡(jiǎn)稱責(zé)任單位）應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。

第三條規(guī)定范圍之外的其他網(wǎng)絡(luò)和信息系統(tǒng)，其責(zé)任單位可以參考本辦法自愿開展商用密碼應(yīng)用安全性評(píng)估。

Q4：誰(shuí)需要做密評(píng)？

基礎(chǔ)信息網(wǎng)絡(luò)：

電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。

重要信息系統(tǒng)：

能源、教育、公安、測(cè)繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。

重要工業(yè)控制系統(tǒng)：

核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)：

黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。

Q5：不做密評(píng)或測(cè)試結(jié)果不合格的影響？

《密碼法》第三十七條第一款

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款

對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第二章第十條

關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次。

Q6：密評(píng)標(biāo)準(zhǔn)是什么？

GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》

《信息系統(tǒng)密碼測(cè)評(píng)要求（試行）》

《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)過(guò)程指南（試行）》

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》

《商用密碼應(yīng)用安全性評(píng)估作業(yè)指導(dǎo)書》

《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)工具使用需求說(shuō)明書》

Q7：密評(píng)工作內(nèi)容？

方案評(píng)估

對(duì)于新建/改造信息系統(tǒng)，密碼應(yīng)用建設(shè)方案/改造方案，一般由責(zé)任單位組織商用密碼從業(yè)單位編寫,包括：《密碼應(yīng)用解決方案》、《實(shí)施方案》和《應(yīng)急處置方案》。責(zé)任單位編寫密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托測(cè)評(píng)機(jī)構(gòu)對(duì)方案進(jìn)行評(píng)估。

系統(tǒng)評(píng)估

依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn)，系統(tǒng)評(píng)估主要從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)、密鑰管理、安全管理等方面開展。

測(cè)評(píng)機(jī)構(gòu)完成系統(tǒng)評(píng)估后，出具評(píng)估報(bào)告。在密評(píng)活動(dòng)結(jié)束30個(gè)工作日內(nèi)，將評(píng)估結(jié)果報(bào)密碼管理部門等相關(guān)部門備案。

Q8：密評(píng)工作流程？

Q9：密評(píng)如何定級(jí)與備案？

密評(píng)系統(tǒng)的定級(jí)參照等級(jí)保護(hù)的系統(tǒng)定級(jí)。

根據(jù)現(xiàn)有規(guī)定，責(zé)任單位取得報(bào)告后，被測(cè)單位自行上報(bào)主管部門及所在地區(qū)（部門）密碼管理部門備案，測(cè)評(píng)機(jī)構(gòu)上報(bào)國(guó)密局備案；

等保三級(jí)及以上信息系統(tǒng)，評(píng)估報(bào)告還需由被測(cè)單位上報(bào)至所在地區(qū)公安部門備案。

Q10：密評(píng)實(shí)施流程與方法？