导图社区 商用密码应用安全性评估
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
社区模板帮助中心,点此进入>>
安全教育的重要性
个人日常活动安排思维导图
西游记主要人物性格分析
17种头脑风暴法
如何令自己更快乐
头脑风暴法四个原则
思维导图
第二职业规划书
记一篇有颜又有料的笔记-by babe
伯赞学习技巧
商用密码应用安全性评估(密评)
商用密码存在的问题
应用不广泛
应用不规范
密码应用不安全
商用密码概念
不涉及国家秘密内容的信息
进行
加密保护
安全认证
包含
密码技术
是商用密码的核心
是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。
列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
密码产品
商用密码评估
网络、信息系统密码应用
合规性
正确性
有效性
评估
是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务
目的
解决商用密码应用中存在的问题
应用不安全
为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理
确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障
法律依据
《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统
基础信息网络
电信网
广播电视网
互联网
涉及国计民生和基础信息资源的重要信息系统
能源
教育
公安
测绘地理信息
社保
交通
卫生计生
金融
重要工业控制系统
面向社会服务的政务信息系统
关键信息基础设施
网络安全等级保护三级以上系统
第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估
处罚条款及措施
《密码法》第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
密评依据标准
GM/T0054-2018《信息系统密码应用基本要求》
《信息系统密码测评要求(试行)》
《商用密码应用安全性评估测评过程指南(试行)》
《商用密码应用安全性评估管理办法(试行)》
《商用密码应用安全性评估作业指导书》
《商用密码应用安全性评估测评工具使用需求说明书》
密评内容
方案评估
一般由责任单位组织商用密码从业单位编写,
对于新建/改造信息系统,密码应用建设方案/改造方案
《密码应用解决方案》
《实施方案》
《应急处置方案》
责任单位编写密码应用建设方案/改造方案后,应委托测评机构对方案进行评估。
系统评估
依据GM/T0054-2018《信息系统密码应用基本要求》等标准
内容
物理和环境
网络和通信
设备和计算
应用和数据
密钥管理
安全管理
时间周期
测评机构完成系统评估后,出具评估报告。在密评活动结束30个工作日内,将评估结果报密码管理部门等相关部门备案。
密评流程
已建系统
部门指责
密评机构
密码应用安全性评估
评估密码应用方案
网络运营者
组织评估
制定密码应用方案
改造实施
定期评估(关键信息基础设施、网络安全等级保护三级每年进行一次评估)
发生密码相关重大事件、调整或特殊情况时及时评估
密码管理部门
指导监督检查
全流程管理
工作流程
差距评估
改造规划
运行阶段
应急响应
评估内容
新建系统
规划
评估应用方案
建设
建设实施
运行
定期评估
密码应用安全评估
应急
发生密码相关重大事件、调整或特殊情况及时评估
密评定级与备案
密评系统的定级参照等级保护的系统定级
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案
等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案
密评实施流程与方法
方法
文档搜索
人员访谈
工具测试
人工核查
实施流程
明确被测范围和系统
联系密评机构
前期准备和编制测评方案
现场测评
出具测评报告
报送上级
