網絡安(ān)全知識
根據《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法(試行)》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性測評機構管理(lǐ)辦(bàn)法(試行)》等有(yǒu)關規定的要求,測評機構和測評人員、網絡與信息系統責任單位、密碼管理(lǐ)部門三方在密評工(gōng)作(zuò)中(zhōng)的職責各不相同,隻有(yǒu)三方通力協作(zuò)配合,才能(néng)将密評工(gōng)作(zuò)紮實做好。
商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)是一項專業性很(hěn)強的工(gōng)作(zuò),需要專門的測評機構派出專業測評人員實施測評,測評結果作(zuò)為(wèi)密碼應用(yòng)安(ān)全性評估結論的重要依據。
測評機構是商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的承擔單位,應當按照有(yǒu)關法律法規和标準要求科(kē)學(xué)、公(gōng)正地開展評估。承擔商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)的測評機構,需要經過國(guó)家密碼管理(lǐ)部門組織的試點培育,經評審後,納入試點測評機構目錄;在測評過程中(zhōng),需要全面、客觀地反映被測系統的密碼應用(yòng)安(ān)全狀态,不得洩露被測評對象的工(gōng)作(zuò)秘密和重要數據,不得妨礙被測系統的正常運行。測評機構完成商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)後,應在30個工(gōng)作(zuò)日内将評估結果報國(guó)家密碼管理(lǐ)部門備案。
從事商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)的測評人員應當通過國(guó)家密碼管理(lǐ)部門(或其授權的機構)組織的考核,遵守國(guó)家有(yǒu)關法律法規,按照相關标準,為(wèi)用(yòng)戶提供,安(ān)全、客觀、公(gōng)正的評估服務(wù),保證評估的質(zhì)量和效果。
網絡與信息系統責任單位即網絡與信息系統建設、使用(yòng)、管理(lǐ)單位,是商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的責任單位,應當健全密碼保障系統,并在規劃、建設和運行階段,組織開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò),并負主體(tǐ)責任。重要領域網絡與信息系統的運營者,應按如下要求開展工(gōng)作(zuò)。
第一,系統規劃階段,網絡與信息系統責任單位應當依據商(shāng)用(yòng)密碼技(jì )術标準,制定商(shāng)用(yòng)密碼應用(yòng)建設方案(簡稱密碼應用(yòng)方案),組織專家或委托具(jù)有(yǒu)相關資質(zhì)的測評機構進行評估。其中(zhōng),使用(yòng)财政性資金建設的網絡與信息系統,商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估結果應作(zuò)為(wèi)項目立項的必備材料。
第二,系統建設完成後,網絡與信息系統責任單位應當委托具(jù)有(yǒu)相關資質(zhì)的測評機構進行商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估,評估結果作(zuò)為(wèi)項目建設驗收的必備材料,評估通過後,方可(kě)投入運行。
第三,系統投入運行後,網絡與信息系統責任單位應當委托具(jù)有(yǒu)相關資質(zhì)的測評機構定期開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。未通過評估的,網絡與信息系統責任單位應當按要求進行整改并重新(xīn)組織評估。其中(zhōng),關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上信息系統每年至少評估一次。
第四,系統發生密碼相關重大安(ān)全事件、重大調整或特殊緊急情況時,網絡與信息系統責任單位應當及時組織具(jù)有(yǒu)相關資質(zhì)的測評機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估,并依據評估結果進行應急處置,采取必要的安(ān)全防範措施。
第五,完成規劃、建設、運行和應急評估後,網絡與信息系統責任單位應當在30個工(gōng)作(zuò)日内将評估結果報主管部門及所在地區(qū)(部門)的密碼管理(lǐ)部門備案(部委建設直管的系統及其延伸系統,商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估結果報部委密碼管理(lǐ)部門備案)。
網絡與信息系統責任單位應當認真履行密碼安(ān)全主體(tǐ)責任,明确密碼安(ān)全負責人,制定完善的密碼管理(lǐ)制度,按照要求開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估、備案和整改,配合密碼管理(lǐ)部門和有(yǒu)關部門的安(ān)全檢查。
國(guó)家密碼管理(lǐ)部門負責指導、監督和檢查全國(guó)的商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò);省(部)密碼管理(lǐ)部門負責指導、監督和檢查本地區(qū)、本部門、本行業(系統)的商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)。
國(guó)家密碼管理(lǐ)部門依據有(yǒu)關規定,組織對測評機構工(gōng)作(zuò)開展情況進行監督檢查。檢查内容主要包括兩方面:對測評機構出具(jù)的評估結果的客觀、公(gōng)允和真實性進行評判;對測評機構開展評估工(gōng)作(zuò)的客觀、規範和獨立性進行檢查。
各地區(qū)(部門)密碼管理(lǐ)部門根據工(gōng)作(zuò)需要,定期或不定期地對本地區(qū)、本部門重要領域網絡與信息系統商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)落實情況進行檢查。國(guó)家密碼管理(lǐ)部門對全國(guó)的商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)落實情況進行抽查。檢查的主要内容包括:是否在規劃、建設、運行階段按照要求開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估,評估後問題整改情況,評估結果有(yǒu)效性情況等。
