什么是密评?
密评,全称为“商用密码应用安全性评估”,是指对采用商用密码技术、产品和服务集成建设的网络和信息系统中,其密码应用的合规性、正确性和有效性进行评估的活动。简单来说,密评就是检查网络和信息系统是否按照国家相关法律法规和标准规范正确使用了商用密码技术,以确保信息安全。
密评的重要性
1.法规要求:根据《中华人民共和国密码法》和相关法规,关键信息基础设施和重要信息系统必须进行密评。这是确保信息安全和合规运营的必要步骤。
2.安全保障:密码是信息安全的重要保障手段。通过密评,可以发现密码应用中的安全隐患,提升系统的整体安全性。
3.管理规范:密评有助于规范密码的使用和管理,防止密码滥用、误用等问题。
哪些企业或机构需要做密评?
密评主要针对以下几类网络和信息系统:
基础信息网络:如电信网、广播电视网、互联网等。
重要信息系统:涉及国计民生的金融、能源、教育、医疗等系统。
重要工业控制系统:如电力系统、油气管网等。
政务信息系统:党政机关和事业单位使用的面向社会服务的信息系统。
密评的流程有哪些?
密评的流程通常包括以下几个阶段:
1.项目启动与准备
确定评估对象和范围:明确需要进行密评的系统和网络。
制定评估计划:包括时间表、人员分工、资源需求等。
提供基础资料:被评估单位需提供管理架构、技术体系、运行情况等资料。
2.密码应用方案评估
审查密码应用设计方案:检查设计方案是否符合密码使用要求。
评估密码防护措施:确保密码防护措施能够有效防止攻击和泄露。
3.测评准备
编制项目计划书:描述评估目标、方法和预期结果。
提供测评所需资料:填写系统调查表,提供密码管理策略等信息。
准备测评工具:如漏扫工具、性能测试工具等。
4.现场测评
实施现场评估:按照评估计划对信息系统进行密码应用安全性评估。
执行测试用例:检查密码在实际应用中的合规性、正确性和有效性。
5.分析和报告编制
数据分析:对现场测评收集的数据进行分析,识别问题和风险。
编制评估报告:包括评估结论、发现的问题和建议的改进措施。
6.反馈与整改
反馈评估结果:向被评估单位反馈评估结果。
整改实施:被评估单位根据评估报告进行整改。
整改验证:评估机构对整改情况进行验证。
7.复评与持续监控
复评:对整改后的系统进行再次评估,确保问题得到解决。
持续监控:对信息系统进行持续监控,确保密码应用的长期安全性。
密评的结果有哪些?
密评的结果通常分为三种:
1.符合:信息系统未发现安全问题,测评结果中所有单元测评结果均为符合。
2.基本符合:存在少量问题,但不会导致高等级安全风险,综合得分不低于60分。
3.不符合:存在高风险问题,或综合得分低于60分。
密评有什么用?
通过密评,不仅可以提升信息系统的安全性,还能满足国家法律法规的要求,增强客户信任,提升企业形象。对于关键信息基础设施和重要信息系统来说,密评是保障其安全稳定运行的重要手段。
总之,密评是信息安全领域的重要环节,通过系统化的评估流程,能够有效发现并解决密码应用中的问题,为信息安全提供坚实的保障。
相关推荐:
