2项密评新标准6月1日实施(附图解幻灯片下载)
近日,广东省商用密码协会发布《信息系统密码应用方案评估规范》(T/GDCCA
0001-2022)、《信息系统密码应用方案评估过程指南》(T/GDCCA
0002-2022),并于2022年6月1日正式实施,对于规范密码应用方案评估过程,指导密码应用方案编制工作具有重要意义。
密评政策标准体系概览
密评全称是商用密码应用安全性评估,作为规范商用密码应用、发挥商用密码作用的必要手段,是支撑网络和数据安全发展、护航数字经济安全的客观要求。我国陆续出台《密码法》、《商用密码管理条例(修订草案征求意见稿)》等法律法规,不断完善密码法治体系框架,并将密评纳入安全顶层战略,要求重点领域和关键环节开展密评。在法律法规的引领推动作用下,密评行业结合试点实践经验,持续推进密评标准编制,已建成从国标(国家标准)、行标(行业标准)、地标(地方标准)、团标(团体标准)、再到指导性文件等完善和成熟的标准体系,对于机构、人员、管理、实施、测评等方面均有完备的标准支撑,为推动密评产业发展打下坚实基础。国标、行标和地标来源于自上而下的政府或部门主导,侧重于保基础;团标来源于自下而上的市场需求,侧重于提升产业竞争力和创新力。
本次解读的两项密评相关团标,充分参照了现行国标和行标等,具备技术权威性和领先性。广东省作为改革开放前沿阵地、中国经济第一大省,数字经济蓬勃发展,因此在各行业信息系统密码应用的场景广度和技术深度都具有先发优势。结合广东省密评工作落地过程中,遇到的密码应用方案评估规范不足,以及流程、方法、专家评审等方面过程指南缺失等问题,广东省商用密码协会牵头这两项团标,及时填补了该领域的空白,对全国、全行业范围内的密评工作都具有重要参考价值。
本文以图文形式全面解读《信息系统密码应用方案评估规范》和《信息系统密码应用方案评估过程指南》,分析了密码应用方案评估工作的方法和要点,以及评估过程、评估活动的工作内容及主要工作任务。由于作者水平有限,欢迎业界同仁共同探讨完善。
关注本公众号“炼石网络CipherGateway”,并后台回复关键词“炼石就是数据安全012”,即可打包下载图解《信息系统密码应用方案评估规范》和《信息系统密码应用方案评估过程指南》的幻灯片PDF版以及 “ 密评政策标准概览图 ” 中所列出的文件。
本文40页幻灯片,预计阅读时间 30 分钟。
原创声明:本文图解图片皆为原创,版权为炼石网络所有,如需转载,请关注公众号回复“转载”,或在文章下方留言。
注:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:
support@ciphergateway.com。