什么是密评?

数字化转型加速的时代,网络安全成为企业运营不可或缺的一部分。商用密码应用安全性评估(简称“密评”),是确保网络和信息系统中使用商用密码技术的合规性、正确性和有效性的重要手段。

一、密评概述

密评全称为:商用密码应用安全性评估。是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

二、密评法律法规

《密码法》第27条指出:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码测评机构开展商用密码应用安全性评估。

第15条:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第25条:项目建设单位应当按照国家有关规定申请审批部门组织验收,验收申请报告应当附上安全风险评估报告(包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等)、密码应用安全性评估报告等材料。

密评如今是政务信息化项目验收、系统备案等环节的重要检查项;《国家政务信息化项目建设管理办法》第9条指出:除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案,备案文件应当包括等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容。

三、密评的实施对象

重要领域网络和信息系统

基础信息网络:电信网、广播电视网、互联网、银行专网、财政专网等。

重要信息系统:财政、能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础、信息资源的重要信息系统等。

重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统等。

面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统等。

四、密评依据标准

《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021

《信息安全技术 信息系统密码应用测评要求》GB/T 43206-2023

《信息安全技术 信息系统密码应用设计指南》GB/T 43207-2023

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

五、密评测试内容

什么是密评?插图

六、密评实施流程

什么是密评?插图1

七、密评的结论

1、测评结论有三种:符合、基本符合、不符合。

2、符合和基本符合都是通过,通过密评的条件:得分60以上且没有高风险。

3、高风险是一票否决,只要有一项高风险问题结论就是不符合。

符合

信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为 100 分;

基本符合

信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,但存在的安全问题不会导致信息系统面临高等级安全风险,且综合得分不低于60分;

不符合

信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为 0,而且存在的安全问题会导致信息系统面临高等级安全风险,或综合得分低于60分。