摘要:今天我們就來講講關于“密評”的那些事兒,一文帶你搞懂“密評”!
本文分享自華為雲社群《各行各業都在關注的“密評”到底是啥?一文帶你讀懂!》,作者:開天aPaaS小助手 。
要說2022年各行各業關注的熱詞有哪些,“密評”一定榜上有名。但 “密評”到底是啥?為什麼各行各業都如此關注?密評具體工作内容有哪些?如何才能過“密評”……是不是還一頭霧水?
今天我們就來講講關于“密評”的那些事兒,一文帶你搞懂“密評”!
什麼是密評?
密評是商用密碼應用安全性評估的簡稱,是指在采用商用密碼技術、産品和服務內建建設的網絡和資訊系統中,對其密碼應用的合規性、正确性和有效性進行評估。簡單地說,就是對使用了商業密碼的系統進行評估,進而確定其密碼應用的合規、正确、有效。
為什麼各行各業都如此關注密評?
國家網絡安全和密碼相關法律法規明确要求非涉密的關鍵資訊基礎設施、網絡安全保護第三級以上網絡、國家政務資訊系統等網絡與資訊系統開展商用密碼應用安全性評估工作,即密評工作。
如《網絡安全法》第十條規定,建設、營運網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家标準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運作,維護網絡資料的完整性、保密性和可用性。
《密碼法》第二十七條規定,使用商用密碼進行保護的關鍵資訊基礎設施,其營運者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
也就是說對于責任主體(各企業)而言,密評是國家網絡安全和密碼相關法律法規提出的明确要求,是相關責任主體的法定責任和義務。是以,關注密評并及時開展密評,就是相關企業日常營運的一項重要事項!
不做“密評”或密評不合格有什麼影響?
對于相關責任主體不做密評或“密評”不合格的處理,《密碼法》和《國家政務資訊化項目建設管理辦法》都有明确規定:
《密碼法》第三十七條第一款
關鍵資訊基礎設施的營運者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《國家政務資訊化項目建設管理辦法》第二十八條第三款
對于不符合密碼應用和網絡安全要求,或者存在重大安全隐患的政務資訊系統,不安排運作維護經費,項目建設機關不得建立、改建、擴建政務資訊系統。
密評有哪些具體工作内容?
密評工作包括兩部分重要内容:
1)資訊系統規劃階段的密碼應用方案評估:對于建立/改造資訊系統,密碼應用建設方案/改造方案,一般由責任機關組織商用密碼從業機關編寫, 包括:《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任機關編寫密碼應用建設方案/改造方案後,應委托測評機構對方案進行評估;
2)資訊系統建設完成後的資訊系統商用密碼應用安全性評估:依據GB/T 39786的技術要求和管理要求開展評估工作,系統評估主要從實體和環境、網絡和通信、裝置和計算、應用和資料、密鑰管理、安全管理等方面開展。
如何才能順利通過密評?
目前密評測試機構主要依照GB/T 39786的技術要求和管理要求開展評估工作。GB/T 39786是貫徹落實《中華人民共和國密碼法》,指導我國商用密碼應用與安全性評估工作開展的綱領性、架構性标準。
是以如果把“密評”當作一場考試,要想順利通過考試,就要用好吃透GB/T 39786這本“參考書”,這時候,如果擁有一位精通GB/T 39786參考書内容的老師,那就事半功倍!
日前在華為雲開天aPaaS API服務專區正式上線的密評專區——由南京壹證通資訊科技有限公司提供的商用密碼合規解決方案,就是這樣一位“老師”!
Ta提供密評合規咨詢、國密整改、國密資料加密、簽名、時間戳服務平台等一站式商用密碼合規解決方案,包括商用密碼簽名驗簽服務、商用密碼時間戳服務、商用密碼資料加密服務、商用密碼合規全量服務/分子產品服務獨立部署版API等,可以協助客戶快速、順利地通過密評!
點選密評專區即可了解詳情!相關API服務還可0元使用~
文章引用:
1、解讀關于“密評”的幾個誤區 https://www.sohu.com/a/544194285_120124401