商用密碼應用安全性評估 為什么要做密評
“密評”全稱是:商用密碼應用安全性評估,是指在采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中,對其密碼應用的合規(guī)性、正確性和有效性進行評估。搞清什么是密評了,那么為什么要做密評呢?整理了以下幾點,供大家參考。
通過密評發(fā)現(xiàn)在網(wǎng)絡和信息系統(tǒng)中商用密碼應用中存在的問題與不足,為網(wǎng)絡和信息系統(tǒng)的安全提供科學評價方法,逐步規(guī)范商用密碼的使用和管理。改變商用密碼應用不廣泛、不規(guī)范、不安全的現(xiàn)狀,確保商用密碼在網(wǎng)絡和信息系統(tǒng)中有效使用,補足商用密碼應用短板,切實構(gòu)建起堅實可靠的網(wǎng)絡安全密碼屏障。
開展密評,是國家相關法律法規(guī)提出的明確要求,是網(wǎng)絡安全運營者的法定責任和義務。
《網(wǎng)絡安全法》第十條:
建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務,應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網(wǎng)絡安全、穩(wěn)定運行,有效應對網(wǎng)絡安全事件,防范網(wǎng)絡違法犯罪活動,維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。
保密性如何解決?通過商用密碼的使用就是一個重要的措施,那么如何保障商用密碼使用的合規(guī)性、正確性和有效性?還是得依靠密評去做。
《密碼法》第二十七條:
法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。
所以及時開展密評,是廣大網(wǎng)絡安全運營者落實法律法規(guī)要求,履行網(wǎng)絡安全義務的一項重要事項。
如果沒有及時開展密評的,根據(jù)《密碼法》第三十七條:
關鍵信息基礎設施的運營者違反本法第二十七條第一款規(guī)定,未按照要求使用商用密碼,或未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
《商用密碼應用安全性評估管理辦法(試行)》第三條、第二十條:
涉及國家安全和社會公共利益的重要領域網(wǎng)絡和信息系統(tǒng)的建設、使用、管理單位(以下簡稱責任單位)應當健全密碼保障體系,實施商用密碼應用安全性評估。
各地各行業(yè)相關主管部門在各類相關網(wǎng)絡安全文件中也多多少少提過要開展密評的工作的要求,具體以各單位收到的文件為準。
以上三點是我們要及時開展密評工作的重要依據(jù),那么哪些單位要開展密評工作呢?主要涉及到有以下網(wǎng)絡和系統(tǒng)的單位:重要領域網(wǎng)絡和信息系統(tǒng)包括:基礎信息網(wǎng)絡、涉及國計民生和基礎信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務的政務信息系統(tǒng),以及關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)。大家對照好自己單位的情況,看看自己是否在里面,對于符合要求的,需要及時開展密評工作。