为什么要做密评?
“密评”全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。搞清什么是密评了,那么为什么要做密评呢?
发现商用密码应用不足,解决问题
通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,补足商用密码应用短板,切实构建起坚实可靠的网络安全密码屏障。
国家法律法规要求
开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
《网络安全法》第十条:
建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
保密性如何解决?通过商用密码的使用就是一个重要的措施,那么如何保障商用密码使用的合规性、正确性和有效性?还是得依靠密评去做。
《密码法》第二十七条:
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
所以及时开展密评,是广大网络安全运营者落实法律法规要求,履行网络安全义务的一项重要事项。
如果没有及时开展密评的,根据《密码法》第三十七条:
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
相关政策文件要求
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
各地各行业相关主管部门在各类相关网络安全文件中也多多少少提过要开展密评的工作的要求,具体以各单位收到的文件为准。
以上三点是我们要及时开展密评工作的重要依据,那么哪些单位要开展密评工作呢?主要涉及到有以下网络和系统的单位:重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。大家对照好自己单位的情况,看看自己是否在里面,对于符合要求的,需要及时开展密评工作。