4006-555-883

天威诚信小课堂 | 一文读懂有关“密评”的那些事儿

发布时间:2022-05-12 18:17:00
  进入2022年5月份,“密评”忽然成了各行业共同关注的热词。


  无论是电信、能源、教育、公安、社保、交通、水利、城市设施,还是卫生、金融、航空航天、先进制造、石油石化、油气管网、电力系统等单位,只要是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位,“过密评”成了一道紧箍咒。

  随着“密评”时间逐渐收紧,“过密评”也成了一众单位技术负责人的头等大事,为了让大家清楚了解“密评”的意义和重要性,今天我们就来聊一聊有关“密评”的那些事儿。

  什么是密评?


  想要过密评,首先得了解什么是“密评’。

  密评全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。用大白话说,就是对使用了商业密码的系统进行评估,从而确保其合规、正确、有效。

  为什么要“过密评”?


  对于责任主体(企业)而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。


  《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,维护网络数据的完整性、保密性和可用性。

  保密性如何解决?通过商用密码的使用就是一个重要的措施,那么如何保障商用密码使用的合规性、正确性和有效性?还是得依靠密评去做。

  同时,《密码法》第二十七条规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。所以,及时开展密评,是广大网络安全运营者落实法律法规要求,履行网络安全义务的一项重要事项。

  密评未通过怎么办?


  如果没有及时开展密评的,根据《密码法》第三十七条规定,未按照要求使用商用密码,或未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

  如何“过密评”?


  最后,也是广大企业最关注的问题来了。对于责任主体相关负责人来说,开展密评似乎是一件琐碎又头疼的事情,但也不是毫无头绪。


  目前密评测试机构主要依照GB/T39786的技术要求和管理要求开展评估工作。GB/T39786是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。

  中国密码学会密评联委会发布并持续更新依照GB/T39786开展密评的系列指导文件,目前共包括5项内容:GM/T0115-2021《信息系统密码应用测评要求》GM/T0116-2021《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2021版)》。


  如果我们把“过密评”当作一场考试,GB/T39786就像是参考书,对其理解的程度直接关系到考试能否顺利通过。这时候,想要迅速合规通过考试,就需要一个精通参考书内容的老师,于是,专业密改服务提供商应运而生。

  一般而言,合格的密改服务提供商会从责任主体本身业务系统出发,从GB/T39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,得出适合责任主体单位业务系统密码应用需求,从而使责任主体能够顺利通过密评。

  作为工业和信息化部许可设立的电子认证服务机构,天威诚信专注于密码领域,聚焦密码功能服务,以密码基础设施为依托,通过搭建密码产品体系,构建满足国家对信息系统密码建设要求的可行性方案,为各类信息系统提供包括密钥安全管理、密码安全管理、密码算法要求、网络和通信安全等在内的密码建设服务和产品。

  最后,需要注意的是,按照国家规定,密评需要每年进行一次。所以,专业的密改服务提供商提供的方案不仅需要适配主体现阶段的业务系统,还需要兼容其未来一段时间的密评需求。企业也要根据要求从更长远的角度重视“密评”工作并严格筛选密改服务提供商,确保“密评”顺利通过,保障业务的数据安全。
最新发布
1
世界经济论坛:网络攻击风险加剧!SSL证书为您拧紧数据传输安全“阀门”
2
要合规,还要兼容?双算法证书为您呈递安全“最优解”
3
假红包、假客服、假链接如何避免?请查收这份春节防诈指南!
4
展望2023:数字化转型时代的网络安全
5
强法治,促发展 | 天威诚信成功承办第十届电子商务法治高峰论坛
6
接种过科兴疫苗的可领2000元的补助?假的!点击链接一定要认准这个……
7
vTrus通过零信浏览器国密根证书可信认证,已预置信任全球发布
8
重大喜讯!天威诚信vTrus正式加入Adobe全球信任证书列表
9
天威诚信受邀参加DigiCert“2022年亚太区合作伙伴会议”,揽获最佳合作伙伴等三项大奖
10
最后7天!至高1000元!比世界杯更香的天威诚信SSL证书优惠,速抢!
相关推荐
1元秒杀!天威诚信国密SM2 SSL证书超级大放送,只此3天!
推进全国政务数据大一统,我们是这么干的!
展望2023:数字化转型时代的网络安全
英雄集结令!天威诚信电子合同SaaS模式全国渠道招募开始啦
重大喜讯!天威诚信vTrus正式加入Adobe全球信任证书列表
持续优化在线司法与多元解纷服务,与智慧司法同频共振
重大突破!天威诚信vTrus根证书正式完成谷歌Google Root Store预埋
亮相CIS 2022网络安全创新大会 DigiCert为天威诚信打call
世界经济论坛:网络攻击风险加剧!SSL证书为您拧紧数据传输安全“阀门”
天威诚信受邀加入云栖大会·云安全合作伙伴联盟,共建云上安全生态!