商用密码应用安全性评估
根据《密码法》、《商用密码应用安全性评估管理办法》等法律法规,遵循《信息安全技术信息系统密码应用基本要求》、《信息安全技术信息系统密码应用测评要求》等密码标准,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证。
由网络运营者提供密码应用建设方案(新建系统)或梳理和完善已有密码应用建设方案(已建系统);兴先道密码应用安全性评估人员对密码应用方案进行指标评估和量化评估,评估其是否符合被测系统现状和《信息安全技术信息系统密码应用设计指南》等标准要求。评估完成后输出密码应用方案评估报告,包含系统概述、安全控制措施描述及指标适用情况、安全控制措施评估结果以及方案评估结论(通过或未通过)。随后将相关报告提交至密码管理局,进行备案材料审查。
由密码应用安全性评估人员参照《信息安全技术信息系统密码应用基本要求》和《信息安全技术信息系统密码应用测评要求》,对网络运营者的测评对象开展密码应用系统测评。包含以下步骤:
评估准备活动:了解和掌握被测系统的业务流程、架构、范围边界、管理组织等详细情 况;准备评估项目涉及联系人清单;熟悉被测系统现状;了解被测系统既往等级保护测 评情况等。
方案编制活动:确定与被测系统相适应的覆盖对象、评估指标及评估内容、评估侧重点 等,形成现场评估实施方案;提交评估实施方案至被评估单位确认;确定工具测试方法 等。
现场评估活动:召开项目启动会,明确双方工作职责和配合内容;分步实施所有测评项。 实施工具测试,了解系统的真实防护情况,发掘系统存在的密码应用安全性问题;将现 场调阅资料归还并恢复现场。
分析与编制报告:分析单项评估记录,找出被测系统的密码应用情况与相应安全等级对 应的密码应用要求之间的差距;分析单项风险、关联合成风险和整体风险;编撰完成系 统密评报告,并附整改意见。
根据《商用密码应用安全性评估管理办法》要求,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。
