摘要:今天我们就来讲讲关于“密评”的那些事儿,一文带你搞懂“密评”!
本文分享自华为云社区《各行各业都在关注的“密评”到底是啥?一文带你读懂!》,作者:开天aPaaS小助手 。
要说2022年各行各业关注的热词有哪些,“密评”一定榜上有名。但 “密评”到底是啥?为什么各行各业都如此关注?密评具体工作内容有哪些?如何才能过“密评”……是不是还一头雾水?
今天我们就来讲讲关于“密评”的那些事儿,一文带你搞懂“密评”!
什么是密评?
密评是商用密码应用安全性评估的简称,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
为什么各行各业都如此关注密评?
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作,即密评工作。
如《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,维护网络数据的完整性、保密性和可用性。
《密码法》第二十七条规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
也就是说对于责任主体(各企业)而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。所以,关注密评并及时开展密评,就是相关企业日常运营的一项重要事项!
不做“密评”或密评不合格有什么影响?
对于相关责任主体不做密评或“密评”不合格的处理,《密码法》和《国家政务信息化项目建设管理办法》都有明确规定:
《密码法》第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
密评有哪些具体工作内容?
密评工作包括两部分重要内容:
1)信息系统规划阶段的密码应用方案评估:对于新建/改造信息系统,密码应用建设方案/改造方案,一般由责任单位组织商用密码从业单位编写, 包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估;
2)信息系统建设完成后的信息系统商用密码应用安全性评估:依据GB/T 39786的技术要求和管理要求开展评估工作,系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
如何才能顺利通过密评?
目前密评测试机构主要依照GB/T 39786的技术要求和管理要求开展评估工作。GB/T 39786是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。
因此如果把“密评”当作一场考试,要想顺利通过考试,就要用好吃透GB/T 39786这本“参考书”,这时候,如果拥有一位精通GB/T 39786参考书内容的老师,那就事半功倍!
日前在华为云开天aPaaS API服务专区正式上线的密评专区——由南京壹证通信息科技有限公司提供的商用密码合规解决方案,就是这样一位“老师”!
Ta提供密评合规咨询、国密整改、国密数据加密、签名、时间戳服务平台等一站式商用密码合规解决方案,包括商用密码签名验签服务、商用密码时间戳服务、商用密码数据加密服务、商用密码合规全量服务/分模块服务独立部署版API等,可以协助客户快速、顺利地通过密评!
点击密评专区即可了解详情!相关API服务还可0元使用~
文章引用:
1、解读关于“密评”的几个误区 https://www.sohu.com/a/544194285_120124401
2、协会聚焦 | 一文读懂有关“密评”的那些事儿 http://news.sohu.com/a/572333137_120888965