根據(jù)《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》《商用密碼應(yīng)用安全性評估管理辦法（試行）》等相關(guān)要求，政務(wù)信息系統(tǒng)在規(guī)劃、建設(shè)和運(yùn)行階段均須開展商用密碼應(yīng)用安全性評估（以下簡稱“密評”）。

01

什么是密評？

密評全稱商用密碼應(yīng)用安全性評估，是指在采用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。商用密碼是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。

02

為什么要做密評？

一是國家法律法規(guī)的要求。開展密評，是國家相關(guān)法律法規(guī)提出的明確要求，是網(wǎng)絡(luò)安全運(yùn)營者的法定責(zé)任和義務(wù)?！吨腥A人民共和國密碼法》第27條：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用密碼進(jìn)行保護(hù)，自行或者委托密碼檢測機(jī)構(gòu)開展密碼應(yīng)用安全性評估?！渡逃妹艽a應(yīng)用安全性評估管理辦法(試行)》第10條：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)，每年至少評估一次?！毒W(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第47條：第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評估。因此，及時(shí)開展密評，是廣大網(wǎng)絡(luò)安全運(yùn)營者落實(shí)法律法規(guī)要求，履行網(wǎng)絡(luò)安全義務(wù)的一項(xiàng)重要責(zé)任。

二是應(yīng)對網(wǎng)絡(luò)安全形勢的需求。通過密評可以及時(shí)發(fā)現(xiàn)密碼應(yīng)用過程中存在的問題，為網(wǎng)絡(luò)和信息安全提供科學(xué)的評價(jià)方法，逐步規(guī)范密碼的使用和管理，從根本上改變密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保密碼在網(wǎng)絡(luò)和信息系統(tǒng)中得到有效應(yīng)用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼保障。

三是系統(tǒng)安全維護(hù)的必然要求。密碼應(yīng)用是否合規(guī)、正確、有效，涉及密碼算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用多個(gè)方面。因此，需委托專業(yè)機(jī)構(gòu)、人員，采用專業(yè)工具和手段，對系統(tǒng)整體的密碼應(yīng)用安全進(jìn)行專項(xiàng)測試和綜合評估，形成科學(xué)準(zhǔn)確的評估結(jié)果，以便及時(shí)掌握密碼安全現(xiàn)狀，采取必要的技術(shù)和管理措施。

03

怎么做密評？

（一）密評工作標(biāo)準(zhǔn)

商用密碼應(yīng)用安全性評估工作主要遵循 GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測評要求（試行）》《商用密碼應(yīng)用安全性評估測評過程指南（試行）》《商用密碼應(yīng)用安全性評估管理辦法（試行）》《商用密碼應(yīng)用安全性評估作業(yè)指導(dǎo)書》《商用密碼應(yīng)用安全性評估測評工具使用需求說明書》等要求開展。

注：新標(biāo)準(zhǔn)GB/T 39786—2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》將于2021年10月1日正式實(shí)施。

（二）密評工作內(nèi)容

密評工作內(nèi)容主要包括方案評估和系統(tǒng)評估。對于新建/改造信息系統(tǒng)，密碼應(yīng)用建設(shè)方案/改造方案包括：《密碼應(yīng)用解決方案》、《實(shí)施方案》和《應(yīng)急處置方案》。責(zé)任單位編寫密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托測評機(jī)構(gòu)對方案進(jìn)行評估。系統(tǒng)評估主要是依據(jù)GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》等標(biāo)準(zhǔn)，從總體要求、功能要求、技術(shù)要求（物理、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)）、密鑰管理、安全管理等方面開展。

（三）密評工作流程

密評工作流程主要包括四個(gè)步驟：一是測評準(zhǔn)備，包括項(xiàng)目啟動(dòng)、信息收集分析、測評工具和表單準(zhǔn)備；二是方案編制，包括測評對象確定、測評指標(biāo)確定、測評檢查點(diǎn)確定、測評內(nèi)容確定、測評方案編制；三是現(xiàn)場測評，包括現(xiàn)場測評準(zhǔn)備、結(jié)果記錄、結(jié)果確認(rèn)和資料歸還；四是分析與報(bào)告編制，包括單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險(xiǎn)分析、測評結(jié)論形成、測評結(jié)果發(fā)布。

最后，根據(jù)現(xiàn)有規(guī)定，責(zé)任單位取得報(bào)告后，被測單位自行上報(bào)主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機(jī)構(gòu)上報(bào)國密局備案；等保三級及以上信息系統(tǒng)，評估報(bào)告還需由被測單位上報(bào)至所在地區(qū)公安部門備案。

北京世紀(jì)君達(dá)管理咨詢有限公司成立于2011年，公司涉及軍工三證等軍密、國密資質(zhì)咨詢指導(dǎo)，定制化保密培訓(xùn)、各類安保產(chǎn)品銷售等。是一家為企業(yè)提供保密工作咨詢性服務(wù)的服務(wù)平臺(tái)。公司專注于武器裝備科研生產(chǎn)保密資格一級、二級、三級和國軍標(biāo)、武器裝備科研生產(chǎn)許可證、武器裝備承制名錄、軍工涉密業(yè)務(wù)咨詢服務(wù)單位條件備案、國家秘密載體印制甲乙級、涉密信息系統(tǒng)集成甲乙級等軍密國密資質(zhì)的申請、復(fù)審等業(yè)務(wù)的咨詢指導(dǎo)。立足北京，面向全國企、事業(yè)單位提供保密教育培訓(xùn)、企業(yè)保密管理咨詢和軍民融合科技咨詢服務(wù)、涉密場所（保密室）建設(shè)、安全保密產(chǎn)品和涉密運(yùn)行維護(hù)等服務(wù)。與多家法定行政許可鑒定評審/型式試驗(yàn)機(jī)構(gòu)形成了合作互信關(guān)系，以便于能夠第一時(shí)間掌握最新政策動(dòng)向，知悉每一位客戶所處行業(yè)動(dòng)態(tài)，確保為廣大客戶提供最專業(yè)、最權(quán)威的企業(yè)顧問服務(wù)。

   www.sxrongtian.com
　　
看到這里，你也了解了相關(guān)的知識(shí)內(nèi)容了，在進(jìn)行保密資質(zhì)的辦理時(shí)，只有按照相關(guān)的辦理流程來進(jìn)行才可以。如果你還有疑問，可以咨詢我們專業(yè)的指導(dǎo)老師。
歡迎致電北京世紀(jì)君達(dá)，詳詢 400-018-5552   我公司十年經(jīng)驗(yàn)，超高的通過率，專業(yè)咨詢指導(dǎo)，為您騰飛助力！