一、密評(píng)的主要內(nèi)容

密評(píng)的對(duì)象是采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)，評(píng)估的內(nèi)容包括密碼應(yīng)用安全的三個(gè)方面：合規(guī)性、正確性和有效性。

01 合規(guī)性評(píng)估

（1）使用的密碼算法、密碼技術(shù)是否符合法律法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；

（2）使用的密碼產(chǎn)品、密碼模塊是否通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn)；

（3）使用密碼服務(wù)是否符合國(guó)家密碼管理要求。

02 正確性評(píng)估

（1）密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確；

（2）系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)；

（3）自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿(mǎn)足要求；

（4）密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

03 有效性評(píng)估

信息系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼安全防護(hù)機(jī)制不僅設(shè)計(jì)合理，在系統(tǒng)運(yùn)行過(guò)程中，能夠發(fā)揮密碼作用，保障信息的機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性。

二、密評(píng)的要求

01 技術(shù)應(yīng)用要求

（1）物理和環(huán)境安全

密碼技術(shù)實(shí)現(xiàn)物理訪(fǎng)問(wèn)控制、監(jiān)控記錄完整性保護(hù)等要求。

具體包括：身份鑒別、電子門(mén)禁記錄數(shù)據(jù)存儲(chǔ)完整性、視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性等。

（2）網(wǎng)絡(luò)和通信安全

密碼技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸過(guò)程的通信雙方真實(shí)性、數(shù)據(jù)機(jī)密性、完整性保護(hù)等要求。

具體包括：身份鑒別、通信數(shù)據(jù)完整性、通信過(guò)程中重要數(shù)據(jù)的機(jī)密性、網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制信息完整性、安全接入認(rèn)證等。

（3）設(shè)備和計(jì)算安全

密碼技術(shù)實(shí)現(xiàn)設(shè)備用戶(hù)身份真實(shí)性，遠(yuǎn)程鑒別信息機(jī)密性，重要文件的完整性保護(hù)要求。

具體包括：身份鑒別、遠(yuǎn)程管理通道安全、系統(tǒng)資源訪(fǎng)問(wèn)控制信息完整性、重要信息資源安全標(biāo)記完整性、日志記錄完整性、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性等。

（4）應(yīng)用和數(shù)據(jù)安全

密碼技術(shù)實(shí)現(xiàn)身份真實(shí)性、數(shù)據(jù)傳輸和存儲(chǔ)的機(jī)密性、完整性、不可否認(rèn)性等要求。

具體包括：身份鑒別、訪(fǎng)問(wèn)控制信息完整性、重要信息資源安全標(biāo)記完整性、重要數(shù)據(jù)傳輸機(jī)密性、重要數(shù)據(jù)存儲(chǔ)機(jī)密性、重要數(shù)據(jù)存儲(chǔ)完整性、不可否認(rèn)性等。

02 安全管理要求

管理要求由管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置等四個(gè)密碼應(yīng)用管理維度構(gòu)成，具體如下：

（1）密碼應(yīng)用安全管理相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性要求；

（2）密碼相關(guān)安全人員的密碼安全意識(shí)以及關(guān)鍵密碼安全崗位員工的密碼安全能力的培養(yǎng)，人員工作流程要求等；

（3）建設(shè)運(yùn)行過(guò)程中密碼應(yīng)用安全要求及方案落地執(zhí)行的一致性和有效性要求；

（4）處理密碼應(yīng)用安全相關(guān)的應(yīng)急突發(fā)事件的能力要求。

具體包括：具備密碼應(yīng)用安全管理制度、密鑰管理規(guī)則、建立操作規(guī)程、定期修訂安全管理制度、明確管理制度發(fā)布流程、制度執(zhí)行過(guò)程記錄留存等。

03密碼應(yīng)用基本要求等級(jí)描述

信息系統(tǒng)管理者可按照業(yè)務(wù)實(shí)際情況選擇相應(yīng)級(jí)別的密碼保障技術(shù)能力及管理能力，各等級(jí)描述如下：

第一級(jí)

信息系統(tǒng)密碼應(yīng)用安全要求等級(jí)的最低等級(jí)，要求信息系統(tǒng)符合通用要求和最低限度的管理要求，并鼓勵(lì)使用密碼保障信息系統(tǒng)安全；

第二級(jí)

在第一級(jí)要求的基礎(chǔ)上，增加操作規(guī)程、人員上崗培訓(xùn)與考核、應(yīng)急預(yù)案等管理要求，并要求優(yōu)先選擇使用密碼保障信息系統(tǒng)安全；

第三級(jí)

在第二級(jí)要求的基礎(chǔ)上，增加對(duì)真實(shí)性、機(jī)密性的技術(shù)要求以及全部的管理要求；

第四級(jí)

在第三級(jí)要求的基礎(chǔ)上，增加對(duì)完整性、不可否認(rèn)性的技術(shù)要求。

了解密評(píng)相關(guān)標(biāo)準(zhǔn)要求，您還可以參考以下文件：

《商用密碼應(yīng)用安全性評(píng)估管理辦法》《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》等。

北京世紀(jì)君達(dá)管理咨詢(xún)有限公司成立于2011年，公司涉及軍工四證等軍密、國(guó)密資質(zhì)咨詢(xún)指導(dǎo)，定制化保密培訓(xùn)、各類(lèi)安保產(chǎn)品銷(xiāo)售等。是一家為企業(yè)提供保密工作咨詢(xún)性服務(wù)的服務(wù)平臺(tái)。公司專(zhuān)注于武器裝備科研生產(chǎn)保密資格一級(jí)、二級(jí)、三級(jí)和國(guó)軍標(biāo)、武器裝備科研生產(chǎn)許可證、武器裝備承制名錄、軍工涉密業(yè)務(wù)咨詢(xún)服務(wù)單位條件備案、國(guó)家秘密載體印制甲乙級(jí)、涉密信息系統(tǒng)集成甲乙級(jí)等軍密?chē)?guó)密資質(zhì)的申請(qǐng)、復(fù)審等業(yè)務(wù)的咨詢(xún)指導(dǎo)。立足北京，面向全國(guó)企、事業(yè)單位提供保密教育培訓(xùn)、企業(yè)保密管理咨詢(xún)和軍民融合科技咨詢(xún)服務(wù)、涉密場(chǎng)所（保密室）建設(shè)、安全保密產(chǎn)品和涉密運(yùn)行維護(hù)等服務(wù)。與多家法定行政許可鑒定評(píng)審/型式試驗(yàn)機(jī)構(gòu)形成了合作互信關(guān)系，以便于能夠第一時(shí)間掌握最新政策動(dòng)向，知悉每一位客戶(hù)所處行業(yè)動(dòng)態(tài)，確保為廣大客戶(hù)提供最專(zhuān)業(yè)、最權(quán)威的企業(yè)顧問(wèn)服務(wù)。

   www.sxrongtian.com
　　
看到這里，你也了解了相關(guān)的知識(shí)內(nèi)容了，在進(jìn)行保密資質(zhì)的辦理時(shí)，只有按照相關(guān)的辦理流程來(lái)進(jìn)行才可以。如果你還有疑問(wèn)，可以咨詢(xún)我們專(zhuān)業(yè)的指導(dǎo)老師。
歡迎致電北京世紀(jì)君達(dá)，詳詢(xún) 13522228248我公司十年經(jīng)驗(yàn)，超高的通過(guò)率，專(zhuān)業(yè)咨詢(xún)指導(dǎo)，為您騰飛助力！