密评政策标准文件
一、什么是商用密码应用安全性评估政策标准文件
商用密码应用安全性评估(简称“密评”)政策标准文件主要涉及商用密码在网络和信息系统中的应用,并对其合规性、正确性和有效性进行评估的规定和指导。以下是对这些政策标准文件的详细解释:
定义与目的:
- 商用密码应用安全性评估是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
- 这一评估的目的是为了保障网络与信息安全,维护国家安全和社会公共利益,同时保护公民、法人和其他组织的合法权益。
法律依据:
- 密评工作有明确的法律依据,主要包括《中华人民共和国密码法》和《商用密码管理条例》等相关法律法规。
- 例如,《中华人民共和国密码法》的第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并自行或者委托商用密码检测机构开展商用密码应用安全性评估。
管理办法与标准:
- 国家密码管理局负责管理全国的商用密码应用安全性评估工作,并制定了《商用密码应用安全性评估管理办法》来规范这一工作。
- 该办法明确了评估的对象范围,包括关键信息基础设施、网络安全等级保护第三级及以上信息系统等,并规定了这些系统每年至少应评估一次。
- 密评的依据包括《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》等一系列标准规范。
评估流程与内容:
- 密评的流程包括访谈、文档审查、实地查看、配置检查以及工具测试等多个环节。
- 评估内容涵盖技术和管理两大方面,如物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及管理制度、人员管理、建设运行、应急处置等。
评估结论:
- 根据评估结果,密评结论可分为“符合”、“基本符合”和“不符合”三种情况。
- 这一结论是基于综合得分的判断,如综合得分为100分则结论为“符合”,综合得分小于100分但不低于60分且无高风险则结论为“基本符合”,否则为“不符合”。
总的来说,商用密码应用安全性评估政策标准文件为网络和信息系统中的商用密码应用提供了全面的评估指导和规范。
二、国标、行标、团标和指导文件的定义分别是什么
2.1 什么是国标
密评政策标准文件中的“国标”指的是国家标准,具体是指由国家标准化管理委员会发布,针对商用密码应用与安全性评估的标准规范。以下是关于“国标”在密评政策中的详细解释:
定义:“国标”即国家标准,是具有全国范围内统一和强制要求的标准。在密评领域,这些标准规定了商用密码应用的基本要求、评估准则和方法等。
发布与管理:国家标准由国家市场监督管理总局、国家标准化管理委员会等权威机构发布,并经过严格的制定和审查流程,确保其科学性和权威性。这些标准发布后,会成为各行业、各地区进行商用密码应用和安全性评估的重要依据。
具体标准举例:在密评领域,一个典型的国家标准是《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面提出了密码应用技术要求,同时还涵盖了管理制度、人员管理、建设运行和应急处置等方面的管理要求。这一标准的实施,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。
国标的重要性:国家标准在密评中具有极其重要的地位。它不仅是网络运营者、系统承建者在信息系统规划、建设、运行阶段设计密码应用方案的重要依据,还是密码测评机构开展密码应用安全性评估的顶层准则。同时,它也是密码管理部门进行监督检查的重要抓手。
综上所述,“国标”在密评政策标准文件中指的是具有强制性和指导性的国家标准,对于确保商用密码的正确应用和保障信息系统的安全具有至关重要的作用。
2.2 什么是行标
密评政策标准文件中的“行标”指的是行业标准。以下是关于“行标”的详细解释:
定义:“行标”即行业标准,是由某个行业内公认的机构或组织制定并发布,专为该行业内部使用的标准。在密评领域,行业标准可能针对特定类型的商用密码应用或特定行业的安全性评估提供具体的指导和要求。
制定与发布:行业标准通常由行业内具有权威性的组织或机构负责制定,并经过行业内专家的审查和认可后发布。这些标准旨在确保行业内部在商用密码应用和安全性评估方面的一致性和规范性。
与国标的关系:虽然行业标准可能具有其独特性,但它们通常是在国家标准的框架和指导下制定的。行业标准可以视为对国家标准在特定行业内的细化和补充,以满足该行业的特殊需求和特点。
行标在密评中的作用:在密评过程中,行业标准为评估人员提供了针对特定行业的评估准则和方法,有助于更准确地评估商用密码应用的安全性和合规性。同时,行业标准还可以作为行业内各企业之间沟通和协作的基础,推动整个行业在密码应用方面的共同进步。
需要注意的是,虽然行业标准在密评中具有一定的指导作用,但评估过程中仍需综合考虑国家标准、法律法规以及具体应用场景等多方面因素,以确保评估结果的全面性和准确性。
2.3 什么是团标
在密评(商用密码应用安全性评估)政策标准文件中,“团标”指的是团体标准。以下是关于团体标准的详细解释:
定义:团体标准是由一个团体(如企业、行业协会、研究机构等)制定和发布的标准。它通常适用于该团体内部或特定的利益相关方,并可以涵盖产品规范、质量管理体系、环境管理等多个领域。
制定目的:团体标准的制定是为了满足特定团体的需求和目标,旨在促进团体内部或特定群体的统一管理、交流和合作。这些标准有助于提升内部管理水平、推动行业合作与发展,并满足特定利益相关方的需求。
制定程序:团体标准的制定通常由团体内的专家组成的工作组或委员会负责。制定过程中会进行咨询、讨论、评审和修订等环节,以确保标准的可行性和有效性。
与国家标准和国际标准的区别:与国家标准和国际标准相比,团体标准的适用范围较窄,主要局限于制定该标准的团体内部或特定的利益相关方。然而,在特定领域和行业中,团体标准仍具有重要意义。
在密评的上下文中,“团标”可能指的是与商用密码应用安全性评估相关的特定团体标准,这些标准可能为密评工作提供了具体的评估准则、方法或要求。因此,了解和遵循这些团体标准对于确保密评工作的准确性和有效性至关重要。
2.4 什么是指导文件
密评政策标准文件中的“指导文件”指的是为商用密码应用安全性评估提供具体指导和建议的文件。这些文件通常由政府机关、行业协会或标准化组织发布,旨在帮助相关组织和个人更好地理解和执行密评政策标准。
指导文件可能包括以下几类:
实施指南:这类文件详细解释了密评政策标准的具体实施步骤和方法,为评估人员提供操作层面的指导。例如,中国密码学会密评联委会发布的《政务领域政务云密码应用与安全性评估实施指南》和《政务领域政务服务平台密码应用与安全性评估实施指南》就属于此类文件,它们针对政务领域的典型场景提供了密码应用和安全性评估的详细指南。
解读文件:这类文件对密评政策标准中的关键条款和概念进行解释和说明,帮助读者更准确地理解政策标准的意图和要求。
推荐做法:这类文件提供了一些建议性的做法和最佳实践,供评估人员在实际操作中参考和借鉴。
案例分析:通过具体案例来展示密评政策标准在实际应用中的实施情况,为评估人员提供直观的参考。
需要注意的是,指导文件并不具有强制性的法律效力,而是作为一种辅助性的参考资料。在实际操作中,评估人员应根据具体情况和政策标准的要求进行综合判断。
三、密评政策标准文件
3.1 国家标准
- 01-GBT39786-2021 信息安全技术 信息系统密码应用基本要求-.pdf
- 02-信息安全技术 信息系统密码应用设计技术要求(征求意见稿).pdf
3.2 行业标准
- 03-信息系统密码应用测评要求.pdf
- 04-信息系统密码应用测评过程指南.pdf
3.3 团体标准
- 05-TGDCCA 0001-2022《信息系统密码应用方案评估规范》.pdf
- 06-TGDCCA 0002-2022《信息系统密码应用方案评估过程指南》.pdf
3.4 指导文件
- 07-商用商用密码应用安全性评估FAQ(第二版)-202208.pdf
- 08-商用密码应安全性评估报告模板(2021版).pdf
- 09-测评-商用密码应用安全性评估量化评估规则.pdf
- 10-信息系统密码应用高风险判定指引.pdf