密码安全评估
在采用商用密码技术、产品、服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。通过密码安全评估可以有效提升密码算法和密码产品的安全隐患的发现能力,保障其安全性、先进性、机密性、完整性、真实性、不可否认性。
开展密评工作的必要性
应对网络安全形势的需求
通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。
系统安全维护的必然要求
密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此,需委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握密码安全现状,采取必要的技术和管理措施。
相关责任主体的法定职责
国家各项法律、行政法规和有关规定要求使用密码进行保护的关键信息基础设施,其运营者应当使用密码进行保护,自行或者委托密码检测机构开展密码应用安全性评估。 《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度。因此,针对重要领域网络与信息系统开展密评,是网络运营者和主管部门的法定责任。
需要做密评的主要系统有:
基础信息系统
电信网、广播电视网、互联网。
重要信息系统
能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统
核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统
党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
维平执行密评标准化流程+创新
全面规范密码应用管理体系
