商用密码应用改造简介 conv.docxVIP

商用密码应用改造简介

中电科网络安全科技股份有限公司CETCCyberspaceSecurityTechnologyCo.,Ltd.

目录

01 密码评估依据

密评介绍

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 3

需要做密评涉的系统和单位

重要信息系统能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的

重要信息系统。

基础信息网络电信网、广播电视网、互

联网

政务信息系统党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信

息系统。

重要工业控制系统核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重

要工业控制系统。

关键信息基础设施

等级保护（三级）及以上系统

政务信息系统

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 4

网络与数据安全法规体系推动密评建设

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 5

国家法律法规

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 6

方案必要性

《国家政务信息化项目

建设管理办法》

第九条有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容。

第十五条项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第二十八条对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。第三十条各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

第三十六条本办法自2020年2月1日起施行。

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 7

方案必要性

《商用密码应用安全性

评估管理办法（试行）》

第八条重要领域网络和信息系统规划阶段，责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构进行评估，评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。

第九条重要领域网络和信息系统建设完成后，责任单位应当委托测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料。第十条重要领域网络和信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估，评估未通过,责任单位应当限期整改并重新组织评估。关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

第二十二条本办法自2017年4月22日起施行。

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 8

标准规范

020年9月16日，中国密码学会密评联委会发布《政务信息系统密码应用与安全性评估工作指南》(2020版），指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作:

《政务信息系统密码应用与安

全性评估工作指南》(2020版）

?第一章为政务信息系统密码应用与安全性评估实施过程指南，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。

?第二章为政务信息系统密码应用措施指南，介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议。

?第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

?附录提供了密码应用方案模板、已发布的密码国家标准和密码行业标准

目录、电子公文处理系统的密码应用方案示例。

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 9

02 项目建设难点与思路

密评内容

CETCCYBERSPACESECURITYTECHNOLOGYCO.,LTD 11

建设依据

《信息系统密码应用基本要求》（GB/T