2021年3月9日,國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布公告,正式發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,該標(biāo)準(zhǔn)將于2021年10月1日起正式實(shí)施。這是貫徹落實(shí)我國(guó)《密碼法》,指導(dǎo)密評(píng)工作的一項(xiàng)基礎(chǔ)性標(biāo)準(zhǔn),對(duì)于規(guī)范和引導(dǎo)信息系統(tǒng)合規(guī)、正確、有效應(yīng)用密碼,切實(shí)維護(hù)國(guó)家網(wǎng)絡(luò)與信息安全具有重要意義。

密評(píng)六大基礎(chǔ)問(wèn)題解答
商用密碼應(yīng)用安全性評(píng)估，以下簡(jiǎn)稱密評(píng)：

Q1：運(yùn)營(yíng)單位怎么判定是否需要開(kāi)展商用密碼應(yīng)用安全性評(píng)估？
1）《密碼法》第二十七條
法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。
2）《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第三條、第二十條
涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡(jiǎn)稱責(zé)任單位）應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。
重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制 系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。
第三條規(guī)定范圍之外的其他網(wǎng)絡(luò)和信息系統(tǒng)，其責(zé)任單位可以參考本辦法自愿開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

Q2：重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)有哪些？
基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)。
重要信息系統(tǒng)：能源、教育、公安、測(cè)繪地理信息、社保、交通、衛(wèi)生計(jì)生、金融等涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)。
重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。
面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。

Q3：不做密評(píng)或測(cè)評(píng)結(jié)果不合格有什么影響？
《密碼法》第三十七條第一款規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款規(guī)定：對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。
《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第二章第十條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次。

Q4：剛接觸商密并不熟，系統(tǒng)要進(jìn)行商密改造，到底怎么改，有參考的標(biāo)準(zhǔn)或依據(jù)嗎？
目前參考的標(biāo)準(zhǔn)和依據(jù)主要是GM/T0054《信息系統(tǒng)密碼應(yīng)用基本要求》，其他新建和改造方案要求和指導(dǎo)文件正在制定中。
如果剛接觸商密并不熟，可委托第三方進(jìn)行方案設(shè)計(jì)，方案完成后需經(jīng)過(guò)專家論證或者測(cè)評(píng)機(jī)構(gòu)評(píng)審。方案應(yīng)包含密碼應(yīng)用設(shè)計(jì)方案、實(shí)施方案和應(yīng)急方案三部分。

Q5：信息系統(tǒng)密評(píng)如何定級(jí)？實(shí)施流程怎么樣？
目前密評(píng)系統(tǒng)的定級(jí)參照等級(jí)保護(hù)的系統(tǒng)定級(jí)。
實(shí)施流程主要包括：前期準(zhǔn)備，主要是責(zé)任單位信息收集和系統(tǒng)自查，具體時(shí)間要根據(jù)被測(cè)單位準(zhǔn)備進(jìn)度來(lái)定；現(xiàn)場(chǎng)測(cè)評(píng)，測(cè)評(píng)方案由測(cè)評(píng)機(jī)構(gòu)根據(jù)信息采集表內(nèi)容在入場(chǎng)前制定完成，測(cè)評(píng)方案將于前期準(zhǔn)備同步進(jìn)行。
責(zé)任單位越重視，負(fù)責(zé)層級(jí)越高，配合程度越高，時(shí)間越短；反之，越長(zhǎng)。系統(tǒng)規(guī)模越大，時(shí)間越長(zhǎng)；反之，越短。

Q6：取得了商用密碼應(yīng)用安全性評(píng)估報(bào)告后應(yīng)向哪些部門(mén)和機(jī)構(gòu)進(jìn)行備案？
根據(jù)現(xiàn)有規(guī)定，責(zé)任單位取得報(bào)告后，被測(cè)單位自行上報(bào)主管部門(mén)及所在地區(qū)（部門(mén)）密碼管理部門(mén)備案，測(cè)評(píng)機(jī)構(gòu)上報(bào)國(guó)密局備案；
等保三級(jí)及以上信息系統(tǒng)，評(píng)估報(bào)告還需由被測(cè)單位上報(bào)至所在地區(qū)公安部門(mén)備案。
?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-585826.html

到了這里，關(guān)于商用密碼應(yīng)用安全性評(píng)估(密評(píng))六大基礎(chǔ)問(wèn)題解答的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！