等保和商用密码评估,葫芦娃带你了解他们之间的关系!

作者:企划组 时间:2021-07-22 阅读:1439

1.什么是等级保护测评?

答:指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。


2.什么是商密?

答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。


3.什么是商用密码安全性评估?

答:商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。


4.不做密评或测试结果不合格有什么影响?

答:《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法(试行)》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。


5.“商用密码评估”和“等保”究竟有着什么样的关系呢?

答:在网络安全等级保护规划、建设、运行阶段开展密码应用安全性评估;

《商用密码应用安全性评估管理办法(试行)》明确等保三级及以上系统,应当通过密码测评后方可投入运行;等保三级以上网络每年进行一次密评,且测评结果需报主管部门、密码管理部门及公安部门备案;

《网络安全等级保护条例》中保留了密码专章在统一标准体系的基础上台并开展;

《网络安全等级保护基本要求》明确各级系统在哪些环节使用密码;《网络安全等级保护测评要求》将密码测评结果列为等保测评通过的必要条件。


6.“等保”与“商密”的主要标准有什么区别?

答:等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

商密是依据我国相关法律的规定,我国商用密码的标准,由国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定,包括国家标准、行业标准两种。

《中华人民共和国密码法》

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。