确定商用密码应用等级
● 在信息系统规划阶段,首先需要明确使用商用密码保护的信息系统对象,并确定信息系统的商用密码应用等级。
● 密码应用等级一般参照网络安全等级保护的级别确定。信息系统根据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)要求确定系统网络安全等级保护级别时,将同步确定对应的密码应用等级。
● 对于尚未完成网络安全等级保护定级的重要信息系统,其密码应用等级应至少为第三级。
编制商用密码应用方案
● 在确定密码应用等级后,信息系统责任单位需要分析系统现状,结合系统面临的安全风险和风险控制需求进行分析,明确密码应用需求,根据系统的密码应用等级,依据《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)和《信息安全技术 信息系统密码应用设计技术要求》(征求意见稿)相关要求,编制信息系统密码应用方案。
● 密码应用方案设计是信息系统密码应用建设的起点,它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外,密码应用方案也是开展信息系统密码应用情况分析和评估工作的基础条件,是开展密评工作不可或缺的重要参考文件,且密码应用方案通过评审是密评项目立项的必要条件。
● 在设计密码应用方案时,在遵循总体性、科学性、完备性和可行性原则的基础上,应重点关注两个方面内容:一是信息系统支撑平台的密码应用,主要解决物理和环境安全、网络和通信安全、设备和计算安全三个层面的密码相关安全问题,并为业务应用提供密码支撑服务;二是信息系统业务应用的密码应用,主要在应用与数据安全层面,利用密码技术处理具体业务在实际开展过程中存在的安全问题,形成使用密码技术保护的具体业务处理机制和流程,这也是整个密码应用方案的重中之重。
● 从安全合规的维度来看,不同信息系统的支撑平台密码应用方案存在一定的相似性,但是在实际业务应用场景下,密码应用则是与业务应用强耦合的。因此在设计密码应用解决方案时,应用和数据安全层面的相关要求往往发挥着指引性作用。通过对业务安全需求的梳理以及重要数据保护范围的确定,明确需要解决的安全风险以及需要建立的密码应用措施,紧紧围绕业务应用进行密码应用解决方案的设计,提升方案的完备性和可行性。
● 结合标准规范要求,密码应用方案应主要包括系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性分析等内容,并结合实际业务情况附加密码产品和服务应用情况、业务应用系统改造/建设情况、系统和环境改造/建设情况等内容。
组织密码应用方案评估与备案
● 信息系统责任单位编制密码应用方案后,需要组织专家或委托密评机构对密码应用方案进行评估,审定后的密码应用方案是开展信息系统建设、验收和评估等工作的重要依据。
● 信息系统责任单位将通过评估的密码应用方案与密评机构出具的系统《商用密码应用安全性评估报告》在30个工作日内上报主管部门及所在地区(部门)密码管理部门备案。其中,网络安全等级保护第三级及以上信息系统,评估结果应同时上报所在地区公安部门备案。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
