各行各業都在關注的“密評”到底是啥?一文帶你讀懂!

語言: CN / TW / HK
摘要:今天我們就來講講關於“密評”的那些事兒,一文帶你搞懂“密評”!

本文分享自華為雲社群《各行各業都在關注的“密評”到底是啥?一文帶你讀懂!》,作者:開天aPaaS小助手 。

要說2022年各行各業關注的熱詞有哪些,“密評”一定榜上有名。但 “密評”到底是啥?為什麼各行各業都如此關注?密評具體工作內容有哪些?如何才能過“密評”……是不是還一頭霧水?

今天我們就來講講關於“密評”的那些事兒,一文帶你搞懂“密評”!

什麼是密評?

密評是商用密碼應用安全性評估的簡稱,是指在採用商用密碼技術、產品和服務整合建設的網路和資訊系統中,對其密碼應用的合規性、正確性和有效性進行評估。簡單地說,就是對使用了商業密碼的系統進行評估,從而確保其密碼應用的合規、正確、有效。

為什麼各行各業都如此關注密評?

國家網路安全和密碼相關法律法規明確要求非涉密的關鍵資訊基礎設施、網路安全保護第三級以上網路、國家政務資訊系統等網路與資訊系統開展商用密碼應用安全性評估工作,即密評工作

如《網路安全法》第十條規定,建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定執行,維護網路資料的完整性、保密性和可用性。

《密碼法》第二十七條規定,使用商用密碼進行保護的關鍵資訊基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。

也就是說對於責任主體(各企業)而言,密評是國家網路安全和密碼相關法律法規提出的明確要求,是相關責任主體的法定責任和義務。所以,關注密評並及時開展密評,就是相關企業日常運營的一項重要事項!

不做“密評”或密評不合格有什麼影響?

對於相關責任主體不做密評或“密評”不合格的處理,《密碼法》和《國家政務資訊化專案建設管理辦法》都有明確規定:

《密碼法》第三十七條第一款

關鍵資訊基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務資訊化專案建設管理辦法》第二十八條第三款

對於不符合密碼應用和網路安全要求,或者存在重大安全隱患的政務資訊系統,不安排執行維護經費,專案建設單位不得新建、改建、擴建政務資訊系統。

密評有哪些具體工作內容?

密評工作包括兩部分重要內容:

1)資訊系統規劃階段的密碼應用方案評估:對於新建/改造資訊系統,密碼應用建設方案/改造方案,一般由責任單位組織商用密碼從業單位編寫, 包括:《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案後,應委託測評機構對方案進行評估;

2)資訊系統建設完成後的資訊系統商用密碼應用安全性評估:依據GB/T 39786的技術要求和管理要求開展評估工作,系統評估主要從物理和環境、網路和通訊、裝置和計算、應用和資料、金鑰管理、安全管理等方面開展。

如何才能順利通過密評?

目前密評測試機構主要依照GB/T 39786的技術要求和管理要求開展評估工作。GB/T 39786是貫徹落實《中華人民共和國密碼法》,指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。

因此如果把“密評”當作一場考試,要想順利通過考試,就要用好吃透GB/T 39786這本“參考書”,這時候,如果擁有一位精通GB/T 39786參考書內容的老師,那就事半功倍!

日前在華為雲開天aPaaS API服務專區正式上線的密評專區——由南京壹證通訊息科技有限公司提供的商用密碼合規解決方案,就是這樣一位“老師”!

Ta提供密評合規諮詢、國密整改、國密資料加密、簽名、時間戳服務平臺等一站式商用密碼合規解決方案,包括商用密碼簽名驗籤服務、商用密碼時間戳服務、商用密碼資料加密服務、商用密碼合規全量服務/分模組服務獨立部署版API等,可以協助客戶快速、順利地通過密評!

點選密評專區即可瞭解詳情!相關API服務還可0元使用~

文章引用:

1、解讀關於“密評”的幾個誤區 https://www.sohu.com/a/544194285_120124401

2、協會聚焦 | 一文讀懂有關“密評”的那些事兒 http://news.sohu.com/a/572333137_120888965

 

 

點選關注,第一時間瞭解華為雲新鮮技術~