政策法规依据
查看全部 >《政务信息系统密码应用与安全性评估工作指南》公开发布
发布时间:2022-04-20 15:09:15
根据《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)密码应用与安全性评估要求,依据《中华人民共和国密码法》及商用密码管理规定,中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)已于2020年9月发布,用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。 《政务信息系统密码应用与安全性评估工作指南》对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,落实国家密码管理有关要求,同步规划、同步建设、同步运行密码保障系统,给出了具体的指导。 《政务信息系统密码应用与安全性评估工作指南》分为三章。 第一章为政务信息系统密码应用与安全性评估实施过程指南; 第二章为政务信息系统密码应用措施指南,并给出了密码应用措施方面的建议; 第三章为政务信息系统密码应用与安全性评估质量保障指南,给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。 《政务信息系统密码应用与安全性评估工作指南》再次重申了密码应用方案的重要性。首先,对建设者而言密码应用方案通过密评是项目立项
测评对象标准
查看全部 >
商用密码应用安全性评估参考标准
发布时间:2022-04-22 09:56:45
商用密码应用安全性评估相关标准和依据包括: 依据标准和规范 《GB/T39786-2021信息安全技术 信息系统密码应用基本要求》 《信息系统密码应用测评过程指南》 《信息系统密码应用测评要求》 《商用密码应用安全性评估量化评估规则》 《信息系统密码应用高风险判定指引》 参考标准和规范 《SM4分组密码算法》(GM/T 0002-2012) 《SM2椭圆曲线公钥密码算法》(GM/T 0003-2012) 《SM3密码杂凑算法》(GM/T 0004-2012) 《数字证书认证系统密码协议规范》(GM/T 0014-2012) 《密码设备应用接口规范》(GM/T 0018-2012) 《动态口令密码应用技术规范》(GM/T 0021-2012) 《IPSec VPN技术规范》(GM/T 0022-2014) 《SSL VPN技术规范》(GM/T 0024-2014) 《智能密码钥匙技术规范》(GM/T 0027-2014) 《密码模块安全技术要求》(GM/T 0028-2014) 《签名验签服务器技术规范》(GM/T 0029-2014) 《服务器密码机技术规范》(GM/T 0030-
密码应用安全性评估标准
发布时间:2022-04-20 17:10:51
2021年10月1日,密码应用与安全性评估的关键国家标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》正式实施。 GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。该标准分五个级别,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求,从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。 另外,由于各行业、各领域信息系统的复杂性,很难用一个统一的标准去精确刻画所有的信息系统密码应用。在GB/T 39786的总框架下,相关标准化组织陆续制订发布了一些针对特定信息系统的密码应用技术要求和指南;密评联委会从测评的角度,也发布了进行密码应用安全性评估活动的一些指导性文件。
密码应用安全性评估对象
发布时间:2022-04-20 15:44:32
商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。 密评对象 《密码法》要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。 《信息安全等级保护商用密码管理办法》规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。 国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。 在新版《网络安全等级保护条例》明确要求在规划、建设、运行阶段开展密码应用安全性评估。
测评内容流程
查看全部 >商用密码应用安全性评估流程
发布时间:2022-04-20 17:50:04
在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。 项目测评过程包括四项基本测评活动: 测评准备活动 方案编制活动 现场测评活动 分析与报告编制活动 测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。
密码应用安全性评估内容基本要求
发布时间:2022-04-20 17:41:30
在相关技术标准的要求和指导下,信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。 从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。 从密码应用安全管理机制上,确保为信息系统提供管理方面的密码应用安全保障。 测评的内容包括通用要求、密码技术应用要求和密码应用管理要求。其中密码技术应用要求测评又分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面。