什么是密评?
密评,即商用密码应用安全性评估,是依据国家相关法律法规和技术标准(主要包括GB/T397862021《信息安全技术信息系统密码应用基本要求》),对采用商用密码技术、产品和服务的信息系统密码应用的合规性、正确性、有效性进行评估的活动。随着国家对信息安全的重视程度不断提高,密评已成为保障信息系统安全的重要环节,对于维护国家信息安全、保护公民个人信息安全具有重要意义。
为什么要做密评?
1.法律法规要求:《密码法》等法律法规明确规定了关键信息基础设施运营者和政务信息系统采购者在使用密码技术时必须进行密评,这是合规运营的法定要求。
2.保障信息安全:密码技术是信息安全的核心技术之一,通过密评可以确保密码技术在信息系统中的正确应用,有效防止信息泄露、篡改、伪造等安全威胁。
3.提升系统安全性:密评能够发现信息系统在密码应用方面存在的问题和漏洞,为系统的安全加固提供依据,提升整个信息系统的安全性。
密评有哪些环节?
(一)规划阶段
1.需求分析
明确系统需求:信息系统责任单位需对信息系统的业务需求、安全需求进行全面分析,确定系统对密码技术的依赖程度和应用场景。
确定密码应用需求:根据系统需求,明确需要应用的密码技术类型(如加密、数字签名、身份认证等)、密码产品和密码服务的要求。
2.编制密码应用方案
方案设计:依据需求分析结果,设计密码应用方案,包括密码技术的应用架构、密码产品的选型、密码服务的部署等内容。
方案评审:组织专家或委托密评机构对密码应用方案进行评审,确保方案的科学性、合理性和安全性。
3.方案评审与确认
方案确认:将评审通过的密码应用方案作为信息系统建设、验收和评估的依据。对于关键信息基础设施,还需按照要求将测评结果报相关管理部门备案。
(二)建设阶段
1.系统设计与开发
密码技术集成:在信息系统的设计和开发过程中,严格按照密码应用方案的要求,将密码技术集成到系统中,确保密码技术与系统功能的有机结合。
开发规范:遵循密码技术开发规范,确保密码技术的实现符合国家相关标准和规范要求。
2.密码产品采购与部署
产品选型:根据密码应用方案,选择符合国家密码管理部门认证的密码产品,确保产品的合法性和安全性。
部署实施:按照方案要求,对密码产品进行部署和配置,确保密码产品能够正常运行并发挥其安全防护作用。
3.密码应用自评估
内部测试:在系统建设完成后,责任单位应进行密码应用自评估,检查密码技术在系统中的应用是否符合设计要求,是否存在安全隐患。
问题整改:根据自评估结果,对发现的问题进行整改,确保系统在投入运行前具备足够的安全防护能力。
(三)测评准备阶段
1.信息收集与分析
系统资料收集:密评机构收集被测系统的相关资料,包括系统架构、业务流程、密码应用情况等,全面掌握被测系统的密码使用情况。
分析评估需求:根据收集到的资料,分析评估的需求和重点,确定评估的范围和内容。
2.工具和表单准备
测评工具选择:根据评估需求,选择合适的测评工具,如密码检测工具、漏洞扫描工具等,确保测评工具的准确性和可靠性。
表单编制:编制测评所需的表单和记录表格,用于记录测评过程和结果。
(四)方案编制阶段
1.确定测评对象和指标
明确测评对象:根据被测系统的实际情况,明确测评的对象、边界和范围,确保测评的全面性和准确性。
制定测评指标:依据国家相关标准和规范,结合被测系统的密码应用情况,制定详细的测评指标,包括密码技术的合规性、正确性、有效性等方面。
2.编制测评方案
方案内容:根据测评对象和指标,编制详细的测评方案,包括测评的方法、步骤、工具使用、时间安排等内容。
方案审核:对测评方案进行审核,确保方案的科学性和可行性,为测评工作的顺利开展提供保障。
(五)现场测评阶段
1.实施测评
测评过程:严格按照测评方案,采用文档审查、配置检查、工具测试、访谈沟通等多种方法对被测系统进行现场测评。测评过程中,使用测评工具对密码技术的应用情况进行检测,同时结合人工检查,对密码技术的配置、使用等情况进行详细检查。
结果记录:规范、准确、完整地填写测评结果记录,客观、真实、科学地反映出系统的密码安全防护状况。
2.结果确认
结果审核:对测评结果进行审核,确保结果的准确性和完整性。
与被测单位沟通:将测评结果与被测单位进行沟通和确认,确保双方对测评结果无异议。
(六)报告编制阶段
1.报告内容
测评概述:对测评的背景、目的、范围、对象等内容进行简要介绍。
测评过程:详细记录测评的过程,包括测评的方法、步骤、工具使用等情况。
测评结果:对测评结果进行详细分析,包括密码技术的合规性、正确性、有效性等方面的评估结果。
问题与建议:针对测评过程中发现的问题,提出具体的整改建议和措施。
测评结论:给出明确的测评结论,如“符合”、“基本符合”或“不符合”。
2.报告审核与提交
内部审核:对测评报告进行内部审核,确保报告的内容准确、完整、规范。
提交报告:将审核通过的测评报告提交给委托单位及相关管理部门,作为信息系统安全评估的重要依据。
(七)整改复测阶段(如需要)
1.整改建议
问题分析:对测评报告中提出的问题进行深入分析,找出问题产生的原因。
制定整改措施:根据问题分析结果,制定详细的整改措施和计划,明确整改责任人和整改时间。
2.整改实施
整改措施落实:按照整改措施和计划,对信息系统进行整改,确保问题得到彻底解决。
整改验证:对整改后的系统进行验证,确保整改措施的有效性。
3.复测申请与实施
复测申请:整改完成后,向密评机构提交复测申请,说明整改情况和申请复测的理由。若首次测评结论为“基本符合”,通常需在3个月内完成整改并申请复测。
复测实施:密评机构根据复测申请,对整改后的系统进行复测,检查整改措施的落实情况和系统密码应用的安全性。
密评需要注意哪些事项?
1.选择合适的密评机构:密评机构应具备国家密码管理部门认证的资质,具有丰富的密评经验和专业的技术团队,能够确保密评工作的质量和可靠性。
2.加强沟通协调:在密评过程中,信息系统责任单位与密评机构之间应保持密切的沟通和协调,及时解决测评过程中出现的问题,确保测评工作的顺利进行。
3.注重整改落实:对于测评过程中发现的问题,信息系统责任单位应高度重视,积极落实整改措施,确保问题得到及时解决,提升信息系统的安全性。
4.持续关注安全动态:信息系统的安全是一个动态的过程,信息系统责任单位应持续关注信息安全动态,及时了解国家相关政策法规和技术标准的变化,不断优化和完善密码应用方案,确保信息系统的安全性和合规性。
以上就是关于密评的详细介绍,希望对大家做好密评工作有所帮助。国科云是中国科学院控股有限公司旗下企业,专注于提供基于云计算、人工智能等技术的互联网基础资源相关产品及安全服务,提供域名注册、DNS解析、IPv6改造、SSL证书、等保测评、密评等一站式网络安全解决方案,【点击链接,可进行详细咨询或进行产品试用】
相关推荐:
