官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
祺印说信安- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
祺印说信安 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
我们若要讨论密评体系发展,其实绕不开等级保护这个大制度,想要理解密评发展,则必须追个根溯个源,才能勉强说清楚,这里的勉强当然是指我个人能力的勉强。
首先,我们都已经知道的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),这是我国有关等级保护的第一个上位法规,以此建立政策规范性文件和国家标准,形成一个大信息安全等级保护制度体系。为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化办公室等四部门又依据147号令,在2007年发布了《信息安全等级保护管理办法》,即我们熟知的43号文。
43号文中其中设置了密码管理专章,体现了密码管理在等级保护工作中的重要作用,明确了安全等级保护密码管理的主要思路、方式和手段,强调了安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权。
同时,对比《信息安全等级保护管理办法》与《网络安全等级保护条例》内容,我们不难发现其内容前后的延续与一致性,所以我们有理由相信《网络安全等级保护条例》颁布实施后,将替代现行的《信息安全等级保护管理办法》,在《网络安全等级保护条例》(征求意见稿)中明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。对我国的网络安全等级保护进行规范和管理。
再者,就是与《信息安全等级保护管理办法》2007同期发布的《信息安全等级保护商用密码管理办法》,也明确了密码管理与等级保护的关系,《信息安全等级保护商用密码管理办法》规定:“信息安全等级保护中使用的商用密码产品,应当是国家密码管理局准予销售的产品”,“信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备案,填写《信息安全等级保护商用密码产品备案表》”,“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”,明确了商用密码产品的使用要求和各级密码管理部门的监管要求。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,国家密码管理局印发《信息安全等级保护商用密码管理办法实施意见》,规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。
电子签名法 | 商用密码管理条例 | 商用密码科研管理规定 |
商用密码产品销售管理规定 | ||
商用密码产品使用管理规定 | ||
境外组织和个人在华使用密码产品 管理办法 | ||
电子认证服务密码管理办法 | ||
信息安全等级保护商用密码管理办法 | ||
含有密码技术的信息产品政府采购规定 | ||
回到密评,可以说密评最早于2007年提出,本身是等级保护制度的最重要的组成部分之一,经过十余年的积累,密评制度体系不断成熟,其发展经历了四个阶段。
第一阶段:制度奠基期(2007年11月至2016年8月)。2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。在实际工作中,以《网络安全等级保护基本要求》中测评项来进行检查,但缺少体系性的密码测评内容。
第二阶段:再次集结期(2016年9月至2017年4月)。国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点。
第三阶段:体系建设期(2017年5月至2017年9月)。国家密码管理局成立密评领导小组,研究确定了密评体系总体架构,并组织有关单位起草14项制度文件。经征求试点地区、部门意见和专家评审,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布,再后来上升为国家标准GB/T 39786-2021 )和《信息系统密码测评要求(试行)》,密评制度体系初步建立。
第四阶段:密评试点开展期(2017年10月至今)。试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。2019年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另11家机构给予6个月能力提升整改期。2019年10月,开始启动第二批密评试点工作。
伴随着,《密码法》的颁布,密评体系的法律依据更加充分,密评体系的逐渐成熟完善,作为等级保护工作的重要组成分支。势必后期,密码监管部门与公安部门将共同推动等级保护制度更上一个台阶,为等级保护2.0的扎实推进铺平了监管道路。
参考:
《商用密码应用与安全性评估》
《信息安全等级保护管理办法》
《信息安全等级保护商用密码管理办法》等
已在FreeBuf发表 5 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 5 文章数
- 3 关注者