商用密码应用安全性评估
密评说明
商用密码应用安全性评估(简称密评),是指在采用商用密码技术、产品和服务集成建设的网络或信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
01
合规性
指密码算法、密码协议、密钥管理、密码产品和服务使用合规。
02
正确性
是指密码算法、密码协议、密钥管理、密码产品和服务使用正确。
03
有效性
指采用的密码协议、密钥管理系统、密码应用于系统和密码安全防护机制不仅设计合理,而且在系统运行过程中能够发挥密码效用。
评估对象
01关键信息基础设施
02网络安全等级保护第三级及以上网络和信息系统
03政务信息系统
04国家密码法律、行政法规和国家有关规定提出明确要求其他网络和信息系统
评估流程
申请评估
网络运营者组织开展密评工作
→
评估准备
项目启动、信息收集与分析
→
方案编制
确定测评对象、确定测评指标
→
现场评估
评估实施、结果记录
→
报告编制
结果判定、形成报告
→
评估备案
评估结果报告密码管理部门等相关部门备案
评估依据
- GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
- GM/T 0115-2021《信息系统密码测评要求》
- GM/T 0116-2021《商用密码应用安全性评估测评过程指南》
- 《信息系统密码应用高风险判定指引》
- 《商用密码应用安全性评估量化评估规则》
- 通过评审的密码应用解决方案
实际案例
我司具有多个省级政府单位、地市政府单位项目案例经验,为包括国土资源、消防、残联、供销社、人大常委会、政数局等业务部门提供商用密码应用建设服务,并协助完成商用密码应用安全性评估,达成"高分通过"的服务目标。
