一、密评的主要内容
密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统,评估的内容包括密码应用安全的三个方面:合规性、正确性和有效性。
01 合规性评估
(1)使用的密码算法、密码技术是否符合法律法规和国家标准、行业标准的有关要求;
(2)使用的密码产品、密码模块是否通过国家密码管理部门核准;
(3)使用密码服务是否符合国家密码管理要求。
02 正确性评估
(1)密码算法、密码协议、密钥管理、密码产品和服务使用是否正确;
(2)系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现;
(3)自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求;
(4)密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。
03 有效性评估
信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理,在系统运行过程中,能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
二、密评的要求
01 技术应用要求
(1)物理和环境安全
密码技术实现物理访问控制、监控记录完整性保护等要求。
具体包括:身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性等。
(2)网络和通信安全
密码技术实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求。
具体包括:身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息完整性、安全接入认证等。
(3)设备和计算安全
密码技术实现设备用户身份真实性,远程鉴别信息机密性,重要文件的完整性保护要求。
具体包括:身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性等。
(4)应用和数据安全
密码技术实现身份真实性、数据传输和存储的机密性、完整性、不可否认性等要求。
具体包括:身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据存储完整性、不可否认性等。
02 安全管理要求
管理要求由管理制度、人员管理、建设运行、应急处置等四个密码应用管理维度构成,具体如下:
(1)密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
(2)密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
(3)建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
(4)处理密码应用安全相关的应急突发事件的能力要求。
具体包括:具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等。
03密码应用基本要求等级描述
信息系统管理者可按照业务实际情况选择相应级别的密码保障技术能力及管理能力,各等级描述如下:
第一级
信息系统密码应用安全要求等级的最低等级,要求信息系统符合通用要求和最低限度的管理要求,并鼓励使用密码保障信息系统安全;
第二级
在第一级要求的基础上,增加操作规程、人员上岗培训与考核、应急预案等管理要求,并要求优先选择使用密码保障信息系统安全;
第三级
在第二级要求的基础上,增加对真实性、机密性的技术要求以及全部的管理要求;
第四级
在第三级要求的基础上,增加对完整性、不可否认性的技术要求。
了解密评相关标准要求,您还可以参考以下文件:
《商用密码应用安全性评估管理办法》《信息安全技术信息系统密码应用基本要求》《信息系统密码应用测评过程指南》《信息系统密码应用测评要求》等。
北京世纪君达管理咨询有限公司成立于2011年,公司涉及军工四证等军密、国密资质咨询指导,定制化保密培训、各类安保产品销售等。是一家为企业提供保密工作咨询性服务的服务平台。公司专注于武器装备科研生产保密资格一级、二级、三级和国军标、武器装备科研生产许可证、武器装备承制名录、军工涉密业务咨询服务单位条件备案、国家秘密载体印制甲乙级、涉密信息系统集成甲乙级等军密国密资质的申请、复审等业务的咨询指导。立足北京,面向全国企、事业单位提供保密教育培训、企业保密管理咨询和军民融合科技咨询服务、涉密场所(保密室)建设、安全保密产品和涉密运行维护等服务。与多家法定行政许可鉴定评审/型式试验机构形成了合作互信关系,以便于能够第一时间掌握最新政策动向,知悉每一位客户所处行业动态,确保为广大客户提供最专业、最权威的企业顾问服务。
www.shijijunda.com
看到这里,你也了解了相关的知识内容了,在进行保密资质的办理时,只有按照相关的办理流程来进行才可以。如果你还有疑问,可以咨询我们专业的指导老师。
欢迎致电北京世纪君达,详询 13522228248我公司十年经验,超高的通过率,专业咨询指导,为您腾飞助力!