简称“密评” 二、商用密码应用安全评估是什么？哪些单位需要开展密评工作？( 二 ) _密码

密评机构应具备商用密码相关测评工具，技术人员具备专业的测评实施能力，依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等标准规范，为用户提供信息系统商用密码应用安全性评估相关的咨询服务以及测评评估服务。
六、开展密评工作主要参考哪些标准规范？
参考的标准主要分为两类：
第一类是基本要求
主要依据国家标准规范 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》，此标准与2021年10月1日正式实施。
第二类是评估方法
目前主要参考的文件是2021年发布的GM/T 0115-2021《信息系统密码应用测评要求》、 GM/T 0116-2021《信息系统密码应用测评过程指南》，中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。
密评量化评估满分100分，得分大于等于60分且没有高风险为基本合格。

文章插图
七、密评的服务内容主要由哪些？
密评的工作主要包括两部分内容：一是信息系统规划阶段的密码应用方案评审或评估，这一环节主要用于保证建设方案的安全性；二是信息系统建设完成后针对该系统开展现场测试。
方案评审或评估阶段
主要针对新建或改造信息系统，密码应用改造方案一般由用户单位组织编写，用户单位编写密码应用建设方案/改造方案后，应组织对方案进行评审或评估。
系统评估阶段
主要依据国GB/-2021《信息安全技术信息系统密码应用基本要求》，从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面开展评估。
八、密评过程主要包括哪些环节？
密评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活分析与报告便编制活动；测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。其中，测试对象包括安全人员、管理人员、密码产品、网络设备、服务器、数据库、安全设备、操作系统、应用系统、业务系统、技术文档、管理制度文档等；测评工具涉及协议分析工具、端口扫描工具、渗透测试工具、算法和随机性检测工具、密码应用检测工具、密码安全协议检测工具等。
九、密评过程中有哪些常见问题？
用户单位在密码实际应用改造过程中，会遇到诸多问题，如租用外部机房如何满足物理和环境安全项的要求，自建CA的合规性、云平台和云上应用的测评等问题，通用解答可参见2021年底已发布的《商用密码应用安全性评估FAQ》，针对具体问题还需结合用户单位实际情况进行详细解答。
十、取得密评报告后应如何去管理部门备案？
按照《密码法》确定的属地管理原则，应由运营者所在地的密码管理部门作为备案部门，由省级密码管理部门作为一般备案部门，国家密码管理局作为特殊备案部门。自密评报告出具之日30日内，填写《网络与信息系统密评备案信息表》，并按备案表要求，附上密评合同和密评报告，邮寄到所属地密码管理局。
以上。

简称“密评” 二、商用密码应用安全评估是什么？ 哪些单位需要开展密评工作？( 二 )

简称“密评” 二、商用密码应用安全评估是什么？哪些单位需要开展密评工作？( 二 )