《密码法》之商用密码应用安全性评估----六问
密评六大基础问题解答
商用密码应用安全性评估,以下简称密评:
Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估?
1)《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
Q2:重要领域网络和信息系统有哪些?
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
Q3:不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
Q4:刚接触商密并不熟,系统要进行商密改造,到底怎么改,有参考的标准或依据吗?
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》,其他新建和改造方案要求和指导文件正在制定中。
如果刚接触商密并不熟,可委托第三方进行方案设计,方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。
Q5:信息系统密评如何定级?实施流程怎么样?
目前密评系统的定级参照等级保护的系统定级。
实施流程主要包括:前期准备,主要是责任单位信息收集和系统自查,具体时间要根据被测单位准备进度来定;现场测评,测评方案由测评机构根据信息采集表内容在入场前制定完成,测评方案将于前期准备同步进行。
责任单位越重视,负责层级越高,配合程度越高,时间越短;反之,越长。系统规模越大,时间越长;反之,越短。
Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;
等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
《密码法》之商用密码应用安全性评估----六问相关推荐
- 【密码科普】第6期 - 密码算法和商用密码体系架构
作者| 姜钰 来源| 翼安研习社 发布时间|2022-01-06 1. 密码算法的分类 1.1 对称密码算法 加密和解密使用相同密钥的加密算法. 该算法又分为分组密码算法(块加密算法)和流密码算法(序 ...
- 密码学读书笔记系列(三):《商用密码应用与安全性评估》
密码学读书笔记系列(三):<商用密码应用与安全性评估> 思考/前言 第1章 密码基础知识 1.1 密码应用概述 1.2 密码应用安全性评估(密评)的基本原理 1.3 密码技术发展 1.4 ...
- 商用密码应用与安全性评估之(二)商用密码管理法律法规
商用密码应用与安全性评估之(二)商用密码管理法律法规 <密码法>实施前商用密码法律法规体系 <密码法>立法情况和商用密码法律法规体系建设展望 (1)<密码法>立法情 ...
- 《商用密码应用与安全性评估》第二章政策法规2.2法律法规
<密码法>实施前商用密码法律法规体系 总体原则:党管密码,依法行政 1999年颁布行政法规<商用密码管理条例> <电子签名法>:一部涉及规范多项密码管理工作的法律 ...
- 《商用密码-应用与安全性评估》学习2:商用密码应用与安全性评估政策法规
目录 2.1 网络空间安全形势与商用密码工作 2.1.1 国际国内网络空间安全形势 2.1.2 商用密码的由来与发展 2.1.3 商用密码应用问题及安全性评估的重要性 2.2 商用密码管理法律法规 2 ...
- 什么是商用密码安全性评估?
01 什么是商用密码? 商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品. 商用密码技术是商用密码的核心,是信息化时代社会团体.组织.企事业单位和个人用于保护自身 ...
- 《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估.建设完成后对信息系统开展的实际测评. 总体要求.物理和环境安全.网络与通信安全.设备与计算安全.应用与数据安全.密钥管理.安全管理 ...
- 2022年商用密码行业市场规模前景调研分析预测及投资建议可行性研究预测
2022年商用密码行业市场规模前景调研分析预测及投资建议可行性研究预测 (1)中国商用密码行业发展情况:中国商用密码发展起步较晚,历程始于近现代密码时代.整体来看,我国商用密码经历了起步形成.快速发展 ...
- 关于密码和商用密码应用
关于密码和商用密码应用 密码是国之重器,在保障网络安全的各种手段和技术中,被公认是目前世界上公认的最有效.最可靠.最经济的关键核心技术,它可以提供机密性.完整性.真实性.抗抵赖性.可控性等一系列重要安 ...
最新文章
- nginx在linux下安装,Nginx在linux下安装及简单命令
- 推荐一个论文复现神器!
- 淘宝2011.9.21校园招聘会笔试题+答案
- wxPython wx.ArtProvider 可直接调用的图标
- 线程,进程,协程详细解释
- Android之android.graphics.drawable.Drawable.Callback回调接口
- 是现在的钱不值钱还是药太贵!
- android okhttpclient设置编码,Android之okhttp实现socket通讯(非原创)
- 【LeetCode】Remove Nth Node From End of List
- Tsinsen A1517. 动态树 树链剖分,线段树,子树操作
- .NET自动服务程序—C#
- JAVA基础0307
- PHP排序算法之快速排序
- 微信打飞机java代码
- FreeRTOS基本教程零:STM32 FReeRTOS 移植流程
- 测试人员如何分析需求文档
- 读文件java_java怎么读取文件?
- 截止失真放大电路_数字电路基础(一)
- yocto linux 内核源码,利用Bitbake、Poky、Yocto、OpenEmbedded编译生成车规AGL Linux
- 使用Apache Tika实现内容分析