首页 > 新闻动态> 密码学堂 | 《政务信息系统密码应用与安全性评估工作指南》
密码学堂 | 《政务信息系统密码应用与安全性评估工作指南》
2022-12-07

根据《国家政务信息化项目建设管理办法》(以下简称《办法》)(国办发[2019]57号)密码应用与安全性评估要求,依据《中华人民共和国密码法》及商用密码管理规定,中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(以下简称《工作指南》)(2020版)在日前发布,随后,在《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》中,国家密码管理局函告相关单位,有关密码应用与安全性评估工作可参考《指南》。


本期密码学堂,我们详细介绍《指南》。

密评


(一)过程概述

《办法》第十五条要求“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估”,即政务信息系统中的密码保障系统应做到“三同步一评估”,实施过程如下图:

密码测评

《办法》所指项目建设单位、使用单位、审批部门、主管部门等承担项目规划、审批、建设和资金管理等职能部门中的密码管理机构,应按职责做好相关项目密码应用与安全性评估工作的指导、评价、督促,对密码应用方案、密码应用安全性评估报告及相关工作质量进行把关,对密码应用、密码保障系统建设、密评实施、整改时限等提出要求,向相关主责部门提出工作建议,有关情况及时向国家密码管理部门报告。国家密码管理部门将建立完善国家政务信息系统密码应用信息库,对国家政务信息系统密码应用及其密评情况实施台账管理。


(二)规划阶段

在政务信息系统规划阶段,项目建设单位分析系统现状,对系统面临的安全风险和风险控制需求进行分析,明确密码应用需求,跟进系统的网络安全保护等级,依据《基本要求》等相关标准,参照密码应用方案模板,编制密码应用方案,从《商用密码应用安全性评估试点机构目录》(可通过访问“国家密码管理局官方网站-通知公告-国家密码管理局第40号公告”获取)中选择商用密码应用安全性评估机构(以下简称“密评机构”)进行密评。密码应用方案通过密评是项目立项的必要条件。


(三)建设阶段

在政务信息系统建设阶段,系统集成单位在项目建设单位的明确要求下按照通过密评的密码应用方案建设密码保障系统,确保系统密码应用符合国家密码管理部门要求。建设阶段涉及密码应用方案调整优化的,应委托密评机构再次对调整后的密码应用方案进行确认。系统建设完成后,项目建设单位委托密评机构对系统开展密评。系统通过密评是项目验收的必要条件。


未通过密评的政务信息系统,项目建设单位针对评估中发现的安全问题及时整改,整改完成后可请密评机构进行复评,更新评估结果,仍未通过的,不得通过项目验收。


(四)运行阶段

在政务信息系统运行阶段,项目使用单位定期委托密评机构对系统开展密评,网络安全保护等级第三级及以上的政务信息系统,每年至少密评一次,可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。


政务信息系统运行期间的密码应用安全应遵循持续改进的原则,根据安全需求、系统脆弱性、风险威胁程度、系统环境变化以及对系统安全认识的深化等,及时检查、总结、调整现有的密码应用措施,确认系统各项密码技术和管理措施是否落实到位。弱系统约束条件发生重要变化,必要时,项目使用单位需修订密码应用方案,对系统进行升级改造。运行后的政务信息系统密评未通过的,项目使用单位按要求对系统进行整改后再次开展密评,整改期间项目使用单位应保证系统的安全性。


政务信息系统密码应用措施指南

依据《基本要求》,结合当前密码技术、产品和服务的实际情况,给出了针对政务信息系统密码应用的措施建议。项目建设单位也可结合实际,自主选择适合的密码技术、产品和服务,以满足相关密码应用要求。


总体上,项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施,建立安全的密钥管理方案,并采取有效的安全管理措施,对政务信息系统进行保护。政务信息系统需使用经检测认证合格的商用密码产品或服务,使用的商用密码算法、技术应用遵循密码相关国家标准和行业标准,没有标准可遵循时刻提请国家密码管理部门组织对相关算法、技术进行安全性审查。政务信息系统采用电子认证服务的,项目建设单位需选择具有电子政务电子认证服务资质的机构(机构目录可通过访问“国家密码管理局官方网站-在线服务-行政审批结果查询”获取)。

物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全及密钥管理和安全管理方面的具体措施。


政务信息系统密码应用与安全性评估质量保障指南

针对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,开展密码应用方案编制、密码保障系统建设等活动提出了质量管理建议,同时提出了密评机构实施密码应用安全性评估的规范性要求。


(一)项目建设单位和使用单位

项目建设单位需按照《指南》要求,在政务信息系统规划阶段,跟进系统网络安全保护等级,参照密码应用方案模板,编制政务信息系统密码应用方案,并委托密评机构对密码应用方案进行密评。在系统建设阶段,项目建设单位应要求并监督系统集成单位按照通过密评的密码应用方案建设密码保障系统,并在建设完成后,委托密评机构对系统开展密评。政务信息系统投入运行后,项目使用单位应委托密评机构定期对系统进行密评。


编制政务信息系统密码应用方案应遵循总体性、完备性、适用性等原则。


(二)系统集成单位

系统集成单位应严格按照通过密评的密码应用方案开展工程实施、建设密码保障系统。


系统集成单位需做好系统建设过程中的质量控制,明确系统建设实施的组织架构、任务分工及人员安排,明确责任机构和责任人。跟进密码应用方案中的实施保障方案,明确密码保障系统建设实施对象的边界及密码应用范围、任务要求,分析系统建设阶段的重难点问题,提出建设阶段可能存在的风险点及应对措施。系统集成单位需制定实施计划,包含实施路线图、进度计划、重要节点等,按照计划确定实施步骤、分阶段描述任务分工、实施主体、阶段交付物等,并提供保障措施,包含系统建设阶段的组织保障、人员保障、经费保障、质量保障、监督检查等措施。


(三)密评机构

密评机构负责对政务信息系统的密码应用方案进行密评,并对政务信息系统开展密评。


密评机构对政务信息系统的密码应用方案进行密评时,需依据《基本要求》等标准要求,分析密码应用方案是否对政务信息系统中需要保护的资产、 数据提供了体系化、完备、适用的密码保障措施。若政务信息系统密码应用方案中存在不适用指标,需对不适用指标及其论证材料进行评估,审核不适用的具体原因的合理性,并审核是否存在可满足安全要求并达到等效控制的其他替代性风险控制措施。


密评机构对政务信息系统开展密评时,需依据《基本要求》《商用密码应用安全性评估管理办法(试行)》《信息系统密码产品要求(试行)》《商用密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评作业指导书(试行)》等标准规范、指导性文件及管理要求,对照通过密评的密码应用方案,核查不适用指标的条件是否成立、替代性风险控制措施是否落实,从而确定适用和不适用的测评指标,然后从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估,根据政务信息系统当前的安全状况,给出评估结果并提出有针对性的整改建议。


内容来源:《政务信息系统密码应用与安全性评估工作指南》(2020版),中国密码学会密评联委会


————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。


ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。


网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。


信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。


ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。


APP个人信息安全合规评估服务在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。


信息安全风险评估服务立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。


安证云第三方电子数据保全服务提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。


安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。