一、密评是什么
密评是商用密码应用安全性评估的简称,是指按照有关法律法规 和标准规范,对采用商用密码技术、产品和服务集成建设的网络和信 息系统中密码应用的合规性、正确性和有效性进行进行评估。
二、为什么要做密评/密评的依据有哪些
1.《中华人民共和国密码法》
2.《中华人民共和国网络安全法》
3.《商用密码管理条例》
4.《关键信息基础设施安全保护条例》
5.《国家政务信息化项目建设管理办法》
6.《信息安全等级保护管理办法》
7.《商用密码应用安全性评估管理办法》
8.《商用密码应用安全性测评机构管理办法》
9.《政务信息系统密码应用与安全性评估工作指南》(2020 版)
......
三、如何做密评/密评的流程要求
密评(密码应用安全性评估)的流程主要包括申请、审批、建设、评 估、报备五个步骤。以下是详细的流程说明:
1 、申请:由信息系统责任单位(甲方)提出开展密评工作的申请。 如果系统已经开展过密评工作,则直接对该系统密码应用的安全性进 行评估;如果未开展过密评工作,则需要确定该系统是否为新建系统, 以此决定后续是编制密码应用建设方案还是密码应用改造方案。
2 、审批:相关专家组对形成的建设/改造方案进行评审。待方案通过 评审后,信息系统建设单位(密码集成商/密码厂商)会开展系统密 码应用的建设工作。
3 、建设:信息系统建设单位按照评审通过的建设/改造方案,进行密 码应用的建设或改造工作。
4 、评估:建设完成后,根据 GM/T 0116《信息系统密码应用测评过 程指南》要求,由第三方密评机构对建设后的密码应用安全性进行评 估。这一步骤是密评流程中的核心环节,包括多个具体活动:
测评准备:项目启动,收集分析信息,准备工具和表单,被测评单位 提供资料,填写调查表。
方案编制:确定测评对象和指标,选择测试 切入点,整理资料并编制方案。
现场测评:实施准备,开展多种测评活动并记录结果,确认测评影响 和对象系统状况。
报告编制:判定测评结果,进行风险分析,编制测评报告。
评估工作通过后,由密评机构编制《密码应用方案评估报告》、《密码应用安全性评估报告》等文件。
5 、报备:信息系统责任单位将相关评估报告送至主管部门、密码管 理部门进行报备。
如有相关项目,欢迎来电详谈,携手共进,共创双赢!
服务商 : 重庆昂格科技有限公司
联系人 : 李孝勇
联系电话 : 18223581057
公司地址 : 重庆市九龙坡区黄桷坪铁路二村123号2-4
