1. 什么是“密评”

“密评”全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。

什么是密评

2. “密评”的对象

  • 基础信息网络: 电信网、广播电视网、互联网;

  • 涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;

  • 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;

  • 面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

(注:关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。)

3. “密评”的工作内容

“密评”的测评工作是网络运营者组织专家或委托测评机构进行评估的一项工作。

对于新建系统需在系统规划阶段,可组织专家或委托测评机构进行评估;

对于已建系统需在系统建设完成后以及运行阶段,由测评机构进行评估。

“密评”的测评工作主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。

lmWCjZI6qm.png

4. “密评”的要点

根据此前讲的密评标准GB/T39786—2021《信息安全技术信息系统密码应用基本要求》,“密评”主要从管理要求和技术要求出发,围绕制度管理、人员管理、建设运行、应急处理、物理和环境、网络和通信、设备和计算、应用和数据八个维度进行评估。下图以密评3级为例,标出了“密评”的要点,供您参考。

DKZlWcTGPY.png