前言:为了这篇博文能够合规的发布,删减该章节中法律法规部分
深化商用密码管理改革,强化商用密码自主创新,推进商用密码合规、正确、有效应用,是新时期商用密码发展面临的重要任务
密码是国家重要战略资源,是保障网络和信息安全的核心技术和基础支撑,是保护国家安全的战略性资源
国际网络空间安全形势:
国内网络空间安全形势:
密码在网络空间中的重要作用:
商用密码主要用于:保护不属于国家密码的信息
SM2、SM9数字签名算法,SM3密码杂凑算法,ZUC、SM4对称加密算法成为ISO/IEC国际标准
注:2018年10月ZUC算法、2021年6月29日SM4算法已补篇的形式纳入ISO/IEC 18033-4
密码应用问题:密码应用不广泛、不规范、不安全
商用密码应用安全性评估是:发挥密码作用的必要手段
开展密评是:应对网络安全严峻形势的迫切需求、系统安全维护的必然要求、相关责任主体的法定职责
密码应用是否合规、正确、有效涉及:密码算法、协议、产品、技术体系、密钥管理、密码应用等六个方面
网络与信息系统安全的前提:密码安全
在保护涉及国家秘密、商业密码、个人隐私等信息的前提下,依法做好商用密码有关信用信息的公开工作
商用密码应用安全性评估体系发展历程:
第一阶段:制度奠基期(2007年11月至2016年8月)。2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了密码测评有关要求
第二阶段:再次集结期(2016年9月至2017年4月)。国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点
第三阶段:体系建设期(2017年5月至2017年9月)。国家密码管理局成立密评领导小组,研究确定了密评总体架构,并组织有关单位起草14项制度文件。2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布)和《信息系统密码测评要求(试行)》,密评制度体系初步建立
第四阶段:密评试点开展期(2017年10月至今)。试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定。
密评体系(总体框架)分为两层共七个要素:
第一层:支撑层,包括法律法规制度和支撑平台两个要素
第二层:实施层,包括机构、人员、测评、报告、风控五个要素
密评总体框架:法律法规制度、支撑平台、机构、人员、测评、报告、风控
密评的主要内容:商用密码应用合规性、正确性和有效性评估
密评的对象:采用商用密码技术、产品和服务集成建设的网络和信息系统
评估的内容包括密码应用安全的三个方面:合规性、正确性、有效性
商用密码应用合规性评估是指:判断信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的相关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格
商用密码应该正确性评估是指:判断密码算法、密码协议、密码管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确
商用密码应用有效性评估是指:判断信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题
国家密码管理局制发《商用密码应用安全性评估管理办法(试行)》的目标:明确国家和省(部)密码管理部门在密码应用安全性评估中的指导、监督和检查职责;明确重要信息系统的建设、使用、管理单位在测评工作中的主体责任;依法培育测评机构,规范评估行为,以评促改、以评促用,形成规范有序的密码应用安全性评估审查机制,并与网络安全等级等已有制度做好衔接
规划阶段的产品主要内容:对密码应用方案进行审查
建设和运行阶段的密评主要内容:对照密码应用方案对系统的安全性开展评估
测评机构完成密评工作后,应在30个工作日内将评估结果报国家密码管理部门备案
责任单位完成规划、建设、运行、应急评估,应在30个工作日内将评估结果报主管部门及所有地区(部门)密码应用部门备案
网络安全等级保护第三级及以上信息系统,评估结果应同时报在地区公安部门备案
《商用密码应用安全性评估管理办法》密评对象范围包括:基础信息网络、设计国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统
测评机构遴选的基本原则:依法合规、公正公开、客观独立
测评机构的监管主体:国家密码管理局根据各省部密码管理部门的推荐,负责测评机构的受理、能力评审和监督检查等
测评机构的基本条件:
具体要求如下:
测评机构的设施环境以及人员是保证测评质量的重要基础
申请测评机构应提交的材料:
主要负责人包括:测评机构的质量负责人,以及负责密码应用安全性评估领域的技术负责人
测评机构下列事项发生变更时,应在10个工作日内向国家密码管理局报告:
测评机构的法律责任:
测评机构由下列情形之一的,国家密码管理局应取消起商用密码应用安全性测评机构试点资格:
测评人员有下列行为之一的,责令测评机构督促其限期修改;情节严重的,责令测评机构暂停其参与 测评工作;情形特别严重的,从密码应用安全性测评人员名单中移除,并对其所在测评机构进行通报:
商用密码应用安全性测评机构申请单位能力评审原则:公平、公正、独立、客观
人员要求:
测评实验室环境条件是正确进行测评工作的重要保证,是确保测评结果准确性和有效性的重要因素
密码工作人员离岗离职实行脱密期管理
密码工作人员上岗应当:
仪器设备条件要求:
测评实施能力要求:
质量管理能力要求五要素:
测评过程可能给被测系统带来的风险:
国家密码管理部门依据有关规定,对测评机构进行监督检查,检查内容主要包括两方面:
商用密码领域的行业协会等组织按照法律、行政法规极其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
密码行业标准化委员会负责密码技术、产品、系统、管理等方面的标准化工作
商用密码行业自律的主要内容包括:
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位
国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
联系客服