您的位置:首頁 >城市 >

天威誠(chéng)信小課堂 | 一文讀懂有關(guān)“密評(píng)”的那些事兒

2022-05-13 10:41:56 來源:壹點(diǎn)網(wǎng)

進(jìn)入2022年5月份,“密評(píng)”忽然成了各行業(yè)共同關(guān)注的熱詞。

 

無論是電信、能源、教育、公安、社保、交通、水利、城市設(shè)施,還是衛(wèi)生、金融、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)等單位,只要是涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位,“過密評(píng)”成了一道緊箍咒。

隨著“密評(píng)”時(shí)間逐漸收緊,“過密評(píng)”也成了一眾單位技術(shù)負(fù)責(zé)人的頭等大事,為了讓大家清楚了解“密評(píng)”的意義和重要性,今天我們就來聊一聊有關(guān)“密評(píng)”的那些事兒。

什么是密評(píng)?

想要過密評(píng),首先得了解什么是“密評(píng)’。

密評(píng)全稱是:商用密碼應(yīng)用安全性評(píng)估,是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。用大白話說,就是對(duì)使用了商業(yè)密碼的系統(tǒng)進(jìn)行評(píng)估,從而確保其合規(guī)、正確、有效。

為什么要“過密評(píng)”?

對(duì)于責(zé)任主體(企業(yè))而言,密評(píng)是國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求,是相關(guān)責(zé)任主體的法定責(zé)任和義務(wù)。

 

《網(wǎng)絡(luò)安全法》第十條規(guī)定,建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù),應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

保密性如何解決?通過商用密碼的使用就是一個(gè)重要的措施,那么如何保障商用密碼使用的合規(guī)性、正確性和有效性?還是得依靠密評(píng)去做。

同時(shí),《密碼法》第二十七條規(guī)定,使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。所以,及時(shí)開展密評(píng),是廣大網(wǎng)絡(luò)安全運(yùn)營(yíng)者落實(shí)法律法規(guī)要求,履行網(wǎng)絡(luò)安全義務(wù)的一項(xiàng)重要事項(xiàng)。

密評(píng)未通過怎么辦?

如果沒有及時(shí)開展密評(píng)的,根據(jù)《密碼法》第三十七條規(guī)定,未按照要求使用商用密碼,或未按照要求開展商用密碼應(yīng)用安全性評(píng)估的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

如何“過密評(píng)”?

最后,也是廣大企業(yè)最關(guān)注的問題來了。對(duì)于責(zé)任主體相關(guān)負(fù)責(zé)人來說,開展密評(píng)似乎是一件瑣碎又頭疼的事情,但也不是毫無頭緒。

目前密評(píng)測(cè)試機(jī)構(gòu)主要依照GB/T 39786的技術(shù)要求和管理要求開展評(píng)估工作。GB/T 39786是貫徹落實(shí)《中華人民共和國(guó)密碼法》,指導(dǎo)我國(guó)商用密碼應(yīng)用與安全性評(píng)估工作開展的綱領(lǐng)性、框架性標(biāo)準(zhǔn),中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)發(fā)布并持續(xù)更新依照GB/T 39786-2021開展密評(píng)的系列指導(dǎo)文件,目前共包括5項(xiàng)內(nèi)容:GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(2021版)》。

如果我們把“過密評(píng)”當(dāng)作一場(chǎng)考試,GB/T 39786就像是參考書,對(duì)其理解的程度直接關(guān)系到考試能否順利通過。這時(shí)候,想要迅速合規(guī)通過考試,就需要一個(gè)精通參考書內(nèi)容的老師,于是,專業(yè)密改服務(wù)提供商應(yīng)運(yùn)而生。

一般而言,合格的密改服務(wù)提供商會(huì)從責(zé)任主體本身業(yè)務(wù)系統(tǒng)出發(fā),從GB/T 39786要求的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運(yùn)行及應(yīng)急處置等層面,進(jìn)行密碼應(yīng)用需求分析,得出適合責(zé)任主體單位業(yè)務(wù)系統(tǒng)密碼應(yīng)用需求,從而使責(zé)任主體能夠順利通過密評(píng)。

作為工業(yè)和信息化部許可設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu),天威誠(chéng)信專注于密碼領(lǐng)域,聚焦密碼功能服務(wù),以密碼基礎(chǔ)設(shè)施為依托,通過搭建密碼產(chǎn)品體系,構(gòu)建滿足國(guó)家對(duì)信息系統(tǒng)密碼建設(shè)要求的可行性方案,為各類信息系統(tǒng)提供包括密鑰安全管理、密碼安全管理、密碼算法要求、網(wǎng)絡(luò)和通信安全等在內(nèi)的密碼建設(shè)服務(wù)和產(chǎn)品。

最后,需要注意的是,按照國(guó)家規(guī)定,密評(píng)需要每年進(jìn)行一次。所以,專業(yè)的密改服務(wù)提供商提供的方案不僅需要適配主體現(xiàn)階段的業(yè)務(wù)系統(tǒng),還需要兼容其未來一段時(shí)間的密評(píng)需求。企業(yè)也要根據(jù)要求從更長(zhǎng)遠(yuǎn)的角度重視“密評(píng)”工作并嚴(yán)格篩選密改服務(wù)提供商,確保“密評(píng)”順利通過,保障業(yè)務(wù)的數(shù)據(jù)安全。

免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。

標(biāo)簽:

相關(guān)文章

編輯推薦