无论是电信、能源、教育、公安、社保、交通、水利、城市设施,还是卫生、金融、航空航天、先进制造、石油石化、油气管网、电力系统等单位,只要是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位,“过密评”成了一道紧箍咒。
随着“密评”时间逐渐收紧,“过密评”也成了一众单位技术负责人的头等大事,为了让大家清楚了解“密评”的意义和重要性,今天我们就来聊一聊有关“密评”的那些事儿。
什么是密评?
想要过密评,首先得了解什么是“密评’。
密评全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。用大白话说,就是对使用了商业密码的系统进行评估,从而确保其合规、正确、有效。
为什么要“过密评”?
对于责任主体(企业)而言,密评是国家网络安全和密码相关法律法规提出的明确要求,是相关责任主体的法定责任和义务。
《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,维护网络数据的完整性、保密性和可用性。
保密性如何解决?通过商用密码的使用就是一个重要的措施,那么如何保障商用密码使用的合规性、正确性和有效性?还是得依靠密评去做。
同时,《密码法》第二十七条规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。所以,及时开展密评,是广大网络安全运营者落实法律法规要求,履行网络安全义务的一项重要事项。
密评未通过怎么办?
如果没有及时开展密评的,根据《密码法》第三十七条规定,未按照要求使用商用密码,或未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
如何“过密评”?
最后,也是广大企业最关注的问题来了。对于责任主体相关负责人来说,开展密评似乎是一件琐碎又头疼的事情,但也不是毫无头绪。
目前密评测试机构主要依照GB/T39786的技术要求和管理要求开展评估工作。GB/T39786是贯彻落实《中华人民共和国密码法》,指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。
中国密码学会密评联委会发布并持续更新依照GB/T39786开展密评的系列指导文件,目前共包括5项内容:GM/T0115-2021《信息系统密码应用测评要求》GM/T0116-2021《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2021版)》。
如果我们把“过密评”当作一场考试,GB/T39786就像是参考书,对其理解的程度直接关系到考试能否顺利通过。这时候,想要迅速合规通过考试,就需要一个精通参考书内容的老师,于是,专业密改服务提供商应运而生。
一般而言,合格的密改服务提供商会从责任主体本身业务系统出发,从GB/T39786要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行及应急处置等层面,进行密码应用需求分析,得出适合责任主体单位业务系统密码应用需求,从而使责任主体能够顺利通过密评。
作为工业和信息化部许可设立的电子认证服务机构,天威诚信专注于密码领域,聚焦密码功能服务,以密码基础设施为依托,通过搭建密码产品体系,构建满足国家对信息系统密码建设要求的可行性方案,为各类信息系统提供包括密钥安全管理、密码安全管理、密码算法要求、网络和通信安全等在内的密码建设服务和产品。
最后,需要注意的是,按照国家规定,密评需要每年进行一次。所以,专业的密改服务提供商提供的方案不仅需要适配主体现阶段的业务系统,还需要兼容其未来一段时间的密评需求。企业也要根据要求从更长远的角度重视“密评”工作并严格筛选密改服务提供商,确保“密评”顺利通过,保障业务的数据安全。
