密码测评、商用密码应用安全性评估咨询

VX:13342852518

密码法：
第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。
第三十七条：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

国家政务信息化项目建设管理办法：
第九条：备案文件应当包括等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容，其中改建、扩建项目还需提交前期项目第三方后评价报告。第十五条：项目建设单位应当落实国家密码管理有关法律法
规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十五条：项目建设单位应当按照国家有关规定申请审批部门组织验收，验收申请报告应当附上安全风险评估报告（包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等）、密码应用安全性评估报告等材料。

商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成
建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
密评的实施主体 是涉及国家安全和社会公共利益的重要领域网络和信息

密评的实施主体 是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。

密评对象 包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

重要领域网络和信息系统：

●    基础信息网络：电信网、广播电视网、互联网、银行专网、财政专网
●    重要信息系统：财政、能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
●    重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
●    面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

密评流程：

密评的测评内容分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个层面。

密评方法
●    访谈：通过与被测单位的相关人员进行交谈和问询，了解被测信息系统技术和管理方面的一些基本信息，并对一些测评内容进行确认；
●    文档审查：审核被测单位提交的有关信息系统安全的各个方面的文档，如：被测系统总体描述文件，被测系统密码总体描述文件，安全管理制度文件，密钥管理制度，各种密码安全规章制度及相关过程管理记录、配置管理文档，被测单位的信息化建设与发展状况以及联络方式；密码应用方案及评审意见，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次评估报告等等。通过对这些文档的审核与分析确认测评的相关内容是否达到安全保护等级的要求；
●    实地查看：现场查看测评对象所处的环境、外观等情况；
●    配置检查：查看测评对象的相关配置；
●    工具测试：根据被测信息系统的实际情况，密评人员使用适合的技术工具对其进行测试。

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区