密评备案监管升级 网络运营方该怎么做?

字号:

2020年1月,《中华人民共和国密码法》(以下简称《密码法》)正式施行,标志着商用密码应用安全性评估已经成为我国网络运营者应当依法开展的安全测评活动。

商用密码应用安全性评估(以下简称“密评”),指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

1. 事件:监管部门进一步规范密评备案工作

2021年12月,国家密码管理局印发《关于规范商用密码应用安全性评估结果备案工作的通知》(以下简称《通知》)。

《通知》提出,落实《密码法》及国家商用密码管理相关要求,进一步规范商用密码应用安全性评估结果备案相关工作。

《通知》要求,各地区网络与信息系统运营者应当在密评报告出具之日起30日内,填写《网络与信息系统密评备案信息表》,连同密评报告一起,报网络与信息系统所在地省级密码管理部门备案。

2. 攻略:备案要求升级后,密评工作如何实施?

监管对密评备案要求细化、升级之后,相关单位密评如何实施?

密评主要按照《GB/T 39786-2021 信息系统密码应用基本要求》等标准,对信息系统在规划、建设、运行三个阶段中的密码应用情况进行安全性评估。

对于新建/改造信息系统,网络运营者在完成密码应用方案之后,应委托测评机构或专家对方案进行评估,即密码应用方案评估。

对于已建系统,应定期委托密评机构对系统开展密评,网络安全保护等级第三级及以上的信息系统,每年至少开展一次密评。整套流程包括:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。

新建/改造及已建系统密评实施流程图解如下:

3. CFCA竭诚提供密评等多类测评服务

自2017年《中华人民共和国网络安全法》施行,网络安全等级保护已成为我国网络安全领域的基本制度,密评随之成为网络运营者应当依法开展的测评活动。

中国金融认证中心(CFCA)作为权威、独立的第三方测评机构,同时也是既具有网络安全等级保护测评资质,又具有商用密码应用安全评估资质的双测评资格机构,可同时开展密评、等保两项测评活动,避免重复测评给网络运营者带来额外的时间和经济成本。CFCA深耕网络安全测评领域多年,拥有丰富的安全测评服务经验,将凭借过硬的技术与优质的服务,为网络运营者提供各类测评服务。

责任编辑:韩希宇