✆ 022-23709999
发表时间: 2024-12-02 10:01:24
浏览:
恒御科技喜获密评资质
开启“密评 等保”双轮驱动新局面
天津恒御科技有限公司成功获得密评资质,一举成为等保密评双资质机构,这一成就标志着恒御科技在信息安全服务领域又迈出了坚实且具有深远意义的一步。
长期以来,信息安全一直是国家和各行业高度关注的核心问题。随着信息技术的飞速发展,数据的价值与日俱增,同时也面临着日益复杂和严峻的安全威胁。在这样的大背景下,密评(商用密码应用安全性评估)和等保测评(网络安全等级保护测评)工作成为保障信息系统安全稳定运行的关键防线。
密评(商用密码应用安全性评估)是指在采用商用密码技术、产品和服务集成建设的网络安全信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。
密码主要涉及金融、政务、医疗、交通、教育、农业、旅游、能源、通信、车联网、物联网等各个领域。
目前的基本要求是等保三级系统、非涉密的关键性基础设施、政务信息化系统需要做密评,并且每年至少测评一次。
等保测评(网络安全等级保护测评)是指对信息和信息载体按照重要性等级分级别进行检测、评估、监督和指导的过程。
密码测评相关法规政策有哪些
1.《密码法》
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
2.《商用密码应用安全性评估管理办法(试行)》
第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估
3.《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》
2020年9月11日,国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函(国密局函(2020)119号)。
为贯彻落实《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发(2019)57号,以下简称《办法》),依据《中华人民共和国密码法》和商用密码管理有关规定,现就进一步加强非涉密的国家政务信息系统密码应用与安全性评估工作有关事宜函告如下:
一、请各项目建设单位按照《办法》密码应用与安全性评估的有关要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估,保障密码应用与安全性评估经费,配备密码保障系统管理和运维人员;
二、《办法》实施前已完成审批正在建设的项目,请进一步加强密码应用方案的编制论证,建设完善密码保障系统,并在验收前开展密码应用安全性评估;《办法》实施前已完成验收的项目,请在今年内完善密码应用方案并组织开展密码应用安全性评估。
三、请项目建设单位的密码管理机构做好项目密码应用与安全性评估工作的统筹、指导、督促,有关重要问题及时与我局确定。请项目审批部门、资金管理部门在履行相关管理职能时做好与密码应用与安全性评估有关要求的衔接。
四、有关密码应用与安全性评估工作可参考中国密码学会发布的《政务信息系统密码应用与安全性评估工作指南》;委托开展密码应用安全性评估的,请从《商用密码应用安全性评估试点机构目录》中选择评估机构。
五、地方各级政务信息化项目密码应用与安全性评估工作,可参照本文件有关要求执行。
4.《国家政务信息化项目建设管理办法的通知》(国办发(2019)57号)
政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估;
按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告;
项目的密码应用和安全审查情况应当作为项目验收的重要内容之一,密码应用安全性评估报告应当作为提交验收申请的必要材料;
对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统;
国务院有关部门对密码应用情况实施监督管理,不符合要求的,视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目;
国务院各部门应当严格按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
5.《公网安[2020]1960号文件》
第二部分第六条 网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相第二部分第六条 网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
6.《gb/t 39786-2021 信息安全技术 信息系统密码应用基本要求》
规定了密码算法、密码技术、密码产品和密码服务应符合相关国家标准、行业标准的有关要求
核心内容:分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8个方面提出了密码应用的基本要求
列出了不同级别密码应用基本要求“应”、“宜”、“可”的汇总表
提出了密钥生存周期管理的建议,包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节
密评与等保测评的联系
1.网络安全法治建设的重要组成部分:
密评和等保测评都是我国网络安全法治建设的重要组成部分,旨在提升网络和信息系统的安全性。
2.遵循相似技术标准和管理规范:
两者在评估过程中都需要遵循一定的技术标准和管理规范,以确保评估结果的准确性和可靠性。
3.评估流程相似:
密评和等保测评都需要对信息系统进行分级、备案、建设整改、检测评估、监督检查等,并输出相应报告或证书。
密评与等保测评的区别
1.评估侧重点与目标不同:
密评通过对目标系统技术和管理两方面测评。发现在实际应用中,弃用、乱用、误用密码技术导致存在的安全问题。使密码技术得到合规、正确、有效应用,发挥安全支撑能力,解决应用系统的安全问题。
等保测评通过对目标系统在安全技术及安全管理两方面的测评,对目标系统的安全技术状态及安全管理状况做出初步判断,找出目标系统与相应安全等级要求之间的差距,并结合系统特性进行整体测评和风险分析,最终给出被测系统在安全保护能力方面的评价,并作为进一步完善网络安全防护体系及系统安全策略的依据。
2.适用范围不同:
密评的内容包括技术要求:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理要求:管理制度、人员管理、建设运行、应急处置。
等保测评的内容则涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共十个层面。
3.评估流程不同:
密评流程包括编制密码应用方案(改造方案)、方案评估、建设整改、系统评估、备案等。
等保测评流程包括对信息系统进行定级、备案、建设整改、检测评估、监督检查等。
综上所述,密评和等保测评在网络安全领域各自扮演着重要的角色。虽然它们之间存在紧密的联系,但在评估侧重点、适用范围和评估流程等方面也存在明显的区别。因此,在实际应用中,需要根据具体的信息系统特点和需求,选择合适的评估方式,以确保信息系统的安全性。
做等保和密评的重要性
等保测评的必要性:
1.法律法规要求:根据《中华人民共和国网络安全法》的规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
2.发现风险和漏洞:通过等保测评,企业可以全面评估其信息系统的安全状况,发现潜在的安全隐患和漏洞,从而为企业制定针对性的安全防护策略提供重要依据。
3.合规遵法:等保测评是国家信息安全保障的基本制度、基本策略和基本方法,旨在确保信息系统的安全防护水平与其承载的信息的重要性和敏感性相匹配。通过等保测评,企业可以满足法律法规要求,避免法律风险。
4.提升安全意识和素质:等保测评不仅帮助企业发现和整改安全隐患,还能提升企业的安全意识和安全素质,塑造良好的安全文化。
密评的必要性:
1.法律法规要求:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
2.确保密码应用安全:密评的目的是确保关键信息基础设施在使用商用密码进行保护时,能够达到合规、正确和有效的要求,从而切实保障国家网络和信息安全。
3.规范密码使用和管理:通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状。
综上所述,等保测评和密评都是国家法律法规规定的必要程序,是保障关键信息基础设施安全的重要手段。因此,企业单位必须按照相关要求进行等保测评和密评工作。
不进行等保测评和密评可能会带来一系列严重的后果,这些后果涉及法律责任、安全风险、业务影响、合规审计问题以及国际合作障碍等多方面问题。