目录

主要依据：

评估对象

评估标准

密评建设的流程

周期

达标标准

"应、宜、可

主要依据：

• 《中华人民共和国密码法》

• 《国家政务信息化项目建设管理办法》

• 《网络安全等级保护条例（征求意见稿）》

• 《商用密码管理条例（修订草案征求意见稿）》

• 《贯彻落实网络安全等级保护制度和关键信息基础建设保护制度的指导意见》

评估对象

• 基础信息网络：电信网、广播电视网、互联网。

• 重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。

• 重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

• 面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

• 关键信息基础设施、网络安全等级保护第三级及以上的信息系统。

评估标准

• 合规性：信息系统使用的密码技术、产品和服务是否符合国密要求

• 正确性：受保护对象是否明确，密码功能是否实现准确，密码产品参数是否配置正确

• 有效性：检验或验证密码应用是否合规、正确，是否真正实现了受保护对象的安全防护需求

• 通用要求
  • 密码算法
  • 密码技术
  • 密码产品和服务

• 密码应用技术要求
  • 物理和环境安全
  • 网络和通信安全
  • 设备和计算安全
  • 应用和数据安全

• 密码应用管理要求
  • 管理制度
  • 人员管理
  • 建设运行
  • 应急处置

密评建设的流程

• 新建系统

  

• 已建系统

  

周期

• 网络安全等级保护第三级及以上的系统，每年至少评估一次。

达标标准

• 量化评估：测评分数60分——依据《商用密码应用安全性评估量化评估规则》

• 风险判定：无高风险项——依据《信息系统密码应用高风险判定指引》

"应、宜、可"

• 信息系统具有密码应用方案
  • 对于“应”的条款：在密码应用方案中，需要对该类要求进行全部响应；在实际密评中，密评人员按照相应的测评指标要求进行测评和结果判定。（除确无与某项或者某些项测评指标相关的密码应用要求）
  • 对于“宜”的条款：在密码应用方案中可对该类要求判定为“不适用”，但必须给出充分的证据（实际很难通过）；在实际密评中，密评人员还要进一步核实，若成立则在密评报告中呈现核实过程和结果，否则继续按照测评指标测评。
  • 对于“可”的条款：在密码应用方案中可有信息系统责任单位自行决定是否纳入测评范围，并简述理由即可。在实际密评中，密评人员对方案中未纳入测评范围的“可”条款，测评指标直接为不适用。

• 信息系统不具有密码应用方案
  • 对于“应”的条款：在实际密评中，密评人员按照相应的测评指标要求进行测评和结果判定。（除确无与某项或某些项测评指标相关的密码应用需求）
  • 对于“宜”的条款：在实际密评中，默认纳入标准符合性测评范围。
  • 对于“可”的条款，在实际密评中，公安一所是默认纳入标准符合性测评范围，但最后会再统筹评估一下是否为“不适用”项，而金源动力默认不纳入测评范围。