《密码法》之商用密码应用安全性评估----六问

密评六大基础问题解答

商用密码应用安全性评估，以下简称密评：

Q1：运营单位怎么判定是否需要开展商用密码应用安全性评估？
1）《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2）《商用密码应用安全性评估管理办法（试行）》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。
重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统，其责任单位可以参考本办法自愿开展商用密码应用安全性评估。

Q2：重要领域网络和信息系统有哪些？
基础信息网络：电信网、广播电视网、互联网。
重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

Q3：不做密评或测评结果不合格有什么影响？
《密码法》第三十七条第一款规定：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法（试行）》第二章第十条规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

Q4：刚接触商密并不熟，系统要进行商密改造，到底怎么改，有参考的标准或依据吗？
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》，其他新建和改造方案要求和指导文件正在制定中。
如果刚接触商密并不熟，可委托第三方进行方案设计，方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。

Q5：信息系统密评如何定级？实施流程怎么样？
目前密评系统的定级参照等级保护的系统定级。
实施流程主要包括：前期准备，主要是责任单位信息收集和系统自查，具体时间要根据被测单位准备进度来定；现场测评，测评方案由测评机构根据信息采集表内容在入场前制定完成，测评方案将于前期准备同步进行。
责任单位越重视，负责层级越高，配合程度越高，时间越短；反之，越长。系统规模越大，时间越长；反之，越短。

Q6：取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案？
根据现有规定，责任单位取得报告后，被测单位自行上报主管部门及所在地区（部门）密码管理部门备案，测评机构上报国密局备案；
等保三级及以上信息系统，评估报告还需由被测单位上报至所在地区公安部门备案。