進入2022年5月份,“密評”忽然成了各行業(yè)共同關注的熱詞。
無論是電信、能源、教育、公安、社保、交通、水利、城市設施,還是衛(wèi)生、金融、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)等單位,只要是涉及國家安全和社會公共利益的重要領域網(wǎng)絡和信息系統(tǒng)的建設、使用、管理單位,“過密評”成了一道緊箍咒。
隨著“密評”時間逐漸收緊,“過密評”也成了一眾單位技術負責人的頭等大事,為了讓大家清楚了解“密評”的意義和重要性,今天我們就來聊一聊有關“密評”的那些事兒。
什么是密評?
想要過密評,首先得了解什么是“密評’。
密評全稱是:商用密碼應用安全性評估,是指在采用商用密碼技術、產品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中,對其密碼應用的合規(guī)性、正確性和有效性進行評估。用大白話說,就是對使用了商業(yè)密碼的系統(tǒng)進行評估,從而確保其合規(guī)、正確、有效。
為什么要“過密評”?
對于責任主體(企業(yè))而言,密評是國家網(wǎng)絡安全和密碼相關法律法規(guī)提出的明確要求,是相關責任主體的法定責任和義務。
《網(wǎng)絡安全法》第十條規(guī)定,建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務,應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網(wǎng)絡安全、穩(wěn)定運行,維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。
保密性如何解決?通過商用密碼的使用就是一個重要的措施,那么如何保障商用密碼使用的合規(guī)性、正確性和有效性?還是得依靠密評去做。
同時,《密碼法》第二十七條規(guī)定,使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。所以,及時開展密評,是廣大網(wǎng)絡安全運營者落實法律法規(guī)要求,履行網(wǎng)絡安全義務的一項重要事項。
密評未通過的怎么辦?
如果沒有及時開展密評的,根據(jù)《密碼法》第三十七條規(guī)定,未按照要求使用商用密碼,或未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
如何“過密評”?
最后,也是廣大企業(yè)最關注的問題來了。對于責任主體相關負責人來說,開展密評似乎是一件瑣碎又頭疼的事情,但也不是毫無頭緒。
目前密評測試機構主要依照GB/T 39786的技術要求和管理要求開展評估工作。GB/T 39786是貫徹落實《中華人民共和國密碼法》,指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準,中國密碼學會密評聯(lián)委會發(fā)布并持續(xù)更新依照GB/T 39786-2021開展密評的系列指導文件,目前共包括5項內容:GM/T 0115-2021《信息系統(tǒng)密碼應用測評要求》GM/T 0116-2021《信息系統(tǒng)密碼應用測評過程指南》《信息系統(tǒng)密碼應用高風險判定指引》《商用密碼應用安全性評估量化評估規(guī)則》《商用密碼應用安全性評估報告模板(2021版)》。
如果我們把“過密評”當作一場考試,GB/T 39786就像是參考書,對其理解的程度直接關系到考試能否順利通過。這時候,想要迅速合規(guī)通過考試,就需要一個精通參考書內容的老師,于是,專業(yè)密改服務提供商應運而生。
一般而言,合格的密改服務提供商會從責任主體本身業(yè)務系統(tǒng)出發(fā),從GB/T 39786要求的物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、管理制度、人員管理、建設運行及應急處置等層面,進行密碼應用需求分析,得出適合責任主體單位業(yè)務系統(tǒng)密碼應用需求,從而使責任主體能夠順利通過密評。
作為工業(yè)和信息化部許可設立的電子認證服務機構,天威誠信專注于密碼領域,聚焦密碼功能服務,以密碼基礎設施為依托,通過搭建密碼產品體系,構建滿足國家對信息系統(tǒng)密碼建設要求的可行性方案,為各類信息系統(tǒng)提供包括密鑰安全管理、密碼安全管理、密碼算法要求、網(wǎng)絡和通信安全等在內的密碼建設服務和產品。
最后,需要注意的是,按照國家規(guī)定,密評需要每年進行一次。所以,專業(yè)的密改服務提供商提供的方案不僅需要適配主體現(xiàn)階段的業(yè)務系統(tǒng),還需要兼容其未來一段時間的密評需求。企業(yè)也要根據(jù)要求從更長遠的角度重視“密評”工作并嚴格篩選密改服務提供商,確保“密評”順利通過,保障業(yè)務的數(shù)據(jù)安全。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據(jù)。
標簽: