密碼安全評估
在采用商用密碼技術、產品、服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。通過密碼安全評估可以有效提升密碼算法和密碼產品的安全隱患的發現能力,保障其安全性、先進性、機密性、完整性、真實性、不可否認性。
開展密評工作的必要性
應對網絡安全形勢的需求
通過密評可以及時發現在密碼應用過程中存在的問題,為網絡和信息安全提供科學的評價方法,逐步規范密碼的使用和管理,從根本上改變密碼應用不廣泛、不規范、不安全的現狀,確保密碼在網絡和信息系統中得到有效應用,切實構建起堅實可靠的網絡安全密碼保障。
系統安全維護的必然要求
密碼應用是否合規、正確、有效,涉及密碼算法、協議、產品、技術體系、密鑰管理、密碼應用多個方面。因此,需委托專業機構、專業人員,采用專業工具和專業手段,對系統整體的密碼應用安全進行專項測試和綜合評估,形成科學準確的評估結果,以便及時掌握密碼安全現狀,采取必要的技術和管理措施。
相關責任主體的法定職責
國家各項法律、行政法規和有關規定要求使用密碼進行保護的關鍵信息基礎設施,其運營者應當使用密碼進行保護,自行或者委托密碼檢測機構開展密碼應用安全性評估。 《網絡安全等級保護條例(征求意見稿)》強化密碼應用要求,突出密碼應用監管,重點面向網絡安全等級保護第三級及以上系統,落實密碼應用安全性評估制度。因此,針對重要領域網絡與信息系統開展密評,是網絡運營者和主管部門的法定責任。
需要做密評的主要系統有:
基礎信息系統
電信網、廣播電視網、互聯網。
重要信息系統
能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
重要工業控制系統
核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
面向社會服務的政務信息系統
黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。
維平執行密評標準化流程+創新
全面規范密碼應用管理體系
