《密码法》之商用密码应用安全性评估常见问题笔记答案
发布日期:2021-01-22去年元旦《密码法》正式颁布,构建国家安全法律体系的“四梁八柱”迈出重要一步,新时代密码工作法治化开启新征程。
密码是保障网络和信息安全的核心技术和基础支撑,关系到国家安全、国计民生和社会公共利益。学习密码法,掌握密码基础知识,用密码维护国家安全和人民群众利益,保护个人合法权益。随着《密码法》的颁布,2020年进入全面推进国家秘密治理体系和治理能力现代化的开局之年。各方面重要举措有:
1、2020年7月30日,国密局发布《商用密码应用安全性评估试点机构目录》,目录明确了24家商用密码应用安全性评估试点机构
2、2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》
3、2020年9月24日,中国密码学会密评联委会《政务信息系统密码应用与安全性评估工作指南》 (2020版)
那么针对于《密码法》的相关重要举措中与我们众多政企最为关切的商用密码应用安全性评估最常遇见的问题,小编今天为各位整理清楚,六问六答笔记带走。
Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估?
1)《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
Q2:重要领域网络和信息系统有哪些?
基础信息网络:电信网、广播电视网、互联网。
重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
Q3:不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
Q4:刚接触商密并不熟,系统要进行商密改造,到底怎么改,有参考的标准或依据吗?
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》,其他新建和改造方案要求和指导文件正在制定中。
如果刚接触商密并不熟,可委托第三方进行方案设计,方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。
Q5:信息系统密评如何定级?实施流程怎么样?
目前密评系统的定级参照等级保护的系统定级。
实施流程主要包括:前期准备,主要是责任单位信息收集和系统自查,具体时间要根据被测单位准备进度来定;现场测评,测评方案由测评机构根据信息采集表内容在入场前制定完成,测评方案将于前期准备同步进行。
责任单位越重视,负责层级越高,配合程度越高,时间越短;反之,越长。系统规模越大,时间越长;反之,越短。
Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;
等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
以上信息整理自互联网。更多精彩内容,关注“国密应用研究院”微信公众号,转载请注明详细来源。
最新资讯
Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书