天威誠(chéng)信小課堂 | 一文讀懂有關(guān)“密評(píng)”的那些事兒

進(jìn)入2022年5月份，“密評(píng)”忽然成了各行業(yè)共同關(guān)注的熱詞。

無(wú)論是電信、能源、教育、公安、社保、交通、水利、城市設(shè)施，還是衛(wèi)生、金融、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)等單位，只要是涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位，“過(guò)密評(píng)”成了一道緊箍咒。

隨著“密評(píng)”時(shí)間逐漸收緊，“過(guò)密評(píng)”也成了一眾單位技術(shù)負(fù)責(zé)人的頭等大事，為了讓大家清楚了解“密評(píng)”的意義和重要性，今天我們就來(lái)聊一聊有關(guān)“密評(píng)”的那些事兒。

什么是密評(píng)？

想要過(guò)密評(píng)，首先得了解什么是“密評(píng)’。

密評(píng)全稱(chēng)是：商用密碼應(yīng)用安全性評(píng)估，是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。用大白話說(shuō)，就是對(duì)使用了商業(yè)密碼的系統(tǒng)進(jìn)行評(píng)估，從而確保其合規(guī)、正確、有效。

為什么要“過(guò)密評(píng)”？

對(duì)于責(zé)任主體（企業(yè)）而言，密評(píng)是國(guó)家網(wǎng)絡(luò)安全和密碼相關(guān)法律法規(guī)提出的明確要求，是相關(guān)責(zé)任主體的法定責(zé)任和義務(wù)。

《網(wǎng)絡(luò)安全法》第十條規(guī)定，建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

保密性如何解決？通過(guò)商用密碼的使用就是一個(gè)重要的措施，那么如何保障商用密碼使用的合規(guī)性、正確性和有效性？還是得依靠密評(píng)去做。

同時(shí)，《密碼法》第二十七條規(guī)定，使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。所以，及時(shí)開(kāi)展密評(píng)，是廣大網(wǎng)絡(luò)安全運(yùn)營(yíng)者落實(shí)法律法規(guī)要求，履行網(wǎng)絡(luò)安全義務(wù)的一項(xiàng)重要事項(xiàng)。

密評(píng)未通過(guò)的怎么辦？

如果沒(méi)有及時(shí)開(kāi)展密評(píng)的，根據(jù)《密碼法》第三十七條規(guī)定，未按照要求使用商用密碼，或未按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

如何“過(guò)密評(píng)”？

最后，也是廣大企業(yè)最關(guān)注的問(wèn)題來(lái)了。對(duì)于責(zé)任主體相關(guān)負(fù)責(zé)人來(lái)說(shuō)，開(kāi)展密評(píng)似乎是一件瑣碎又頭疼的事情，但也不是毫無(wú)頭緒。

目前密評(píng)測(cè)試機(jī)構(gòu)主要依照GB/T 39786的技術(shù)要求和管理要求開(kāi)展評(píng)估工作。GB/T 39786是貫徹落實(shí)《中華人民共和國(guó)密碼法》，指導(dǎo)我國(guó)商用密碼應(yīng)用與安全性評(píng)估工作開(kāi)展的綱領(lǐng)性、框架性標(biāo)準(zhǔn)，中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)發(fā)布并持續(xù)更新依照GB/T 39786-2021開(kāi)展密評(píng)的系列指導(dǎo)文件，目前共包括5項(xiàng)內(nèi)容：GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2021版）》。

如果我們把“過(guò)密評(píng)”當(dāng)作一場(chǎng)考試，GB/T 39786就像是參考書(shū)，對(duì)其理解的程度直接關(guān)系到考試能否順利通過(guò)。這時(shí)候，想要迅速合規(guī)通過(guò)考試，就需要一個(gè)精通參考書(shū)內(nèi)容的老師，于是，專(zhuān)業(yè)密改服務(wù)提供商應(yīng)運(yùn)而生。

一般而言，合格的密改服務(wù)提供商會(huì)從責(zé)任主體本身業(yè)務(wù)系統(tǒng)出發(fā)，從GB/T 39786要求的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運(yùn)行及應(yīng)急處置等層面，進(jìn)行密碼應(yīng)用需求分析，得出適合責(zé)任主體單位業(yè)務(wù)系統(tǒng)密碼應(yīng)用需求，從而使責(zé)任主體能夠順利通過(guò)密評(píng)。

作為工業(yè)和信息化部許可設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu)，天威誠(chéng)信專(zhuān)注于密碼領(lǐng)域，聚焦密碼功能服務(wù)，以密碼基礎(chǔ)設(shè)施為依托，通過(guò)搭建密碼產(chǎn)品體系，構(gòu)建滿足國(guó)家對(duì)信息系統(tǒng)密碼建設(shè)要求的可行性方案，為各類(lèi)信息系統(tǒng)提供包括密鑰安全管理、密碼安全管理、密碼算法要求、網(wǎng)絡(luò)和通信安全等在內(nèi)的密碼建設(shè)服務(wù)和產(chǎn)品。

最后，需要注意的是，按照國(guó)家規(guī)定，密評(píng)需要每年進(jìn)行一次。所以，專(zhuān)業(yè)的密改服務(wù)提供商提供的方案不僅需要適配主體現(xiàn)階段的業(yè)務(wù)系統(tǒng)，還需要兼容其未來(lái)一段時(shí)間的密評(píng)需求。企業(yè)也要根據(jù)要求從更長(zhǎng)遠(yuǎn)的角度重視“密評(píng)”工作并嚴(yán)格篩選密改服務(wù)提供商，確保“密評(píng)”順利通過(guò)，保障業(yè)務(wù)的數(shù)據(jù)安全。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

標(biāo)簽：