商用密码应用安全性评估主要包括对商用密码技术、产品和服务的合规性、正确性和有效性的检测分析和评估验证。根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,密评涵盖了从物理和环境安全、网络和通信安全、设备和计算安全到应用和数据安全的各个层面,以及管理制度、人员管理、建设运行和应急处置等管理方面的要求。
密评整体工作总共分为五个步骤,分别是申请、审批、建设、评估以及报备。首先由由信息系统责任单位(甲方)提出开展密评工作的申请,此时甲方如开展过密评工作则直接对该系统密码应用的安全性进行评估,如未开展密评工作,则需要确定该系统是否为新建系统,以此决定密码从业单位编制密码应用建设方案还是密码应用改造方案。
形成具体的建设/改造方案后,由相关专家组对方案进行评审。待方案通过评审,信息系统建设单位(密码集成商/密码厂商)就会开展系统密码应用的建设工作。完成建设后由第三方密评机构对建设后的密码应用安全性进行评估(三级及以上的系统需要每年开展密评工作),评估工作通过后则由密评机构编制《密码应用方案评估报告》、《密码应用安全性评估报告》,评估不通过,则针对该系统不符合标准的地方进行整改,直至通过安全性评估。
最后由信息系统责任单位将相关评估报告送至主管部门、密码管理部门进行报备(三级及以上系统还需要到当地公安机关进行备案)。
声明:本文来自一起聊安全,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
